% gpg4win-compendium-de.tex
% Note, that this a HyperLaTeX source and not plain LaTeX!

\documentclass[a4paper,11pt, oneside,openright,titlepage,dvips]{scrbook}

% define packages
\usepackage{hyperlatex}
\usepackage{a4wide}
\usepackage{times}
\usepackage[latin1]{inputenc}
\usepackage[T1]{fontenc}
\usepackage{swedish}
\usepackage{graphicx}
\usepackage{alltt}
\usepackage{moreverb}
\usepackage{ifthen}
\usepackage{fancyhdr}
\W\usepackage{rhxpanel}
\W\usepackage{sequential}
\usepackage[table]{xcolor}
\usepackage{color}


% write any html files directly into this directory
% XXX: This is currently deactivated, but sooner or later
% we need this to not let smae filenames overwrite each other
% when we have more than one compendium. The Makefile.am needs
% to be updated for this as well - not a trivial change.
%\W\htmldirectory{./compendium-de-html}

% Hyperref should be among the last packages loaded
\usepackage{hyperref}

% page header
\T\fancyhead{} % clear all fields
\T\fancyhead[LO,RE]{Gpg4win-Kompendiet \compendiumVersionSE
    \T\manualinprogress
    \T\\
    \T\itshape\nouppercase{\leftmark}}
\T\fancyhead[RO,LE]{\includegraphics[width=1cm]{gpg4win-logo}}
\T\fancyfoot[C]{\thepage}
\T\pagestyle{fancy}

% define custom commands
\newcommand{\Button}[1]{[\,#1\,]}
\newcommand{\Menu}[1]{\emph{#1}}
\newcommand{\Filename}[1]{\texttt{#1}}
\newcommand{\Email}{E-Mail}
\newcommand{\EchelonUrl}{http://www.heise.de/tp/r4/artikel/6/6928/1.html}
\newcommand\margin[1]{\marginline {\sffamily\scriptsize #1}}
% Note: Do not include more than one image on a source line.
\newcommand{\IncludeImage}[2][]{\texorhtml{%
\includegraphics[#1]{#2}%
}{%
\htmlimg{#2.png}%
}}

% custom colors
\definecolor{gray}{rgb}{0.4,0.4,0.4}
\definecolor{lightgray}{rgb}{0.7,0.7,0.7}

\T\DeclareGraphicsExtensions{.eps.gz,.eps}
\T\parindent 0cm
\T\parskip\medskipamount

% Get the version information from another file.
% That file is created by the configure script.
\input{version.tex}


% Define universal url command.
% Used for latex _and_ hyperlatex (redefine see below).
% 1. parameter = link text (optional);
% 2. parameter = url
% e.g.: \uniurl[example link]{http:\\example.com}
\newcommand{\uniurl}[2][]{%
\ifthenelse{\equal{#1}{}}
{\texorhtml{\href{#2}{#2}}{\xlink{#2}{#2}}}
{\texorhtml{\href{#2}{#1}}{\xlink{#1}{#2}}}}


%%% HYPERLATEX %%%
\begin{ifhtml}
    % HTML title
    \htmltitle{Gpg4win-Kompendium}
    % TOC link in panel
    \htmlpanelfield{Innehåll}{hlxcontents}
    % redefine bmod
    \newcommand{\bmod}{mod}
    % use hlx icons (default path)
    \newcommand{\HlxIcons}{}

    % Footer
    \htmladdress{$\copyright$ \compendiumDateSE, v\compendiumVersionSE
        \manualinprogress
    \html{br/}
    \html{small}
    Gpg4win-Kompendiet är licensierat under
    \link{GNU Free Documentation License v1.2}{fdl}.
    \html{/small}}

    % Changing the formatting of footnotes
    \renewenvironment{thefootnotes}{\xname{fotnoter}\chapter*{fotnoter}\begin{description}}{\end{description}}

    % redefine universal url for hyperlatex (details see above)
    \newcommand{\linktext}{0}
    \renewcommand{\uniurl}[2][]{%
        \renewcommand{\linktext}{1}%
        % link text is not set
        \begin{ifequal}{#1}{}%
            \xlink{#2}{#2}%
            \renewcommand{linktext}{0}%
        \end{ifequal}
        % link text is set
        \begin{ifset}{linktext}%
             \xlink{#1}{#2}%
    \end{ifset}}

    % swedish style
    \htmlpanelswedish
    \extrasswedish
    \dateswedish
    \captionsswedish


    % SECTIONING:
    %
    % on _startpage_: show short(!) toc (only part+chapter)
    \setcounter {htmlautomenu}{1}
    % chapters should be <H1>, Sections <H2> etc.
    % (see hyperlatex package book.hlx)
    \setcounter{HlxSecNumBase}{-1}
    % show _numbers_ of parts, chapters and sections in toc
    \setcounter {secnumdepth}{1}
    % show parts, chapters and sections in toc (no subsections, etc.)
    \setcounter {tocdepth}{2}
    % show every chapter (with its sections) in _one_ html file
    \setcounter{htmldepth}{2}

    % set counters and numberstyles
    \newcounter{part}
    \renewcommand{\thepart}{\arabic{part}}
    \newcounter{chapter}
    \renewcommand{\thecapter}{\arabic{chapter}}
    \newcounter{section}[chapter]
    \renewcommand{\thesection}{\thechapter.\arabic{section}}
\end{ifhtml}


%%% TITLEPAGE %%%

\title{\htmlattributes*{img}{width=300}\IncludeImage[width=8cm]{gpg4win-logo}\\
Gpg4win-Kompendiet}

\author{ \
    % Hyperlatex: Add links to pdf versions and Homepage
    \htmlonly{
        \xml{p}\small
        \xlink{Ladda ner PDF Version}{http://wald.intevation.org/frs/download.php/514/gpg4win-compendium-se-3.0.0-beta1.pdf}\xml{br}
        Till \xlink{Gpg4win-Hemsidan}{http://www.gpg4win.de/}\xml{p}
    }
    % Authors
    En publikation från Gpg4win-Projektet\\
      \small Baserat på originalet av
    \T\\
      \small Manfred J. Heinze, Karl Bihlmeier, Isabel Kramer
    \T\\[-0.2cm]
      \small Dr. Francis Wray und Ute Bahn.
    \\[0.2cm]
      \small Bearbetat av
    \T\\
      \small Werner Koch, Emanuel Schütze und Jan-Oliver Wagner.
}

\date{Version \compendiumVersionSE~från \compendiumDateSE
    \manualinprogress
    }


%%% BEGIN DOCUMENT %%%

\begin{document}

\maketitle

\xname{impressum}
\T\section*{Impressum}
\W\chapter*{Impressum}

\thispagestyle{empty}
Copyright \copyright{} 2002 Bundesministerium für Wirtschaft und
Technologie\footnote{Vid kopiering, distribution eller ändring av detta
dokumentet skall det, förutom denna notis, inte antydas någon sammanhäng
med Bundesministerium für Wirtschaft und Technologie.}\\
Copyright \copyright{} 2005 g10 Code GmbH\\
Copyright \copyright{} 2008 Intevation GmbH

Permission is granted to copy, distribute and/or modify this document
under the terms of the GNU Free Documentation License, Version 1.2 or
any later version published by the Free Software Foundation; with no
Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A
copy of the license is included in the section entitled "`GNU Free
Documentation License"'.

{\small [Detta stycket är en icke bindande översättning av notisen
ovan.]}\\

Tillstånd ges att kopiera, distribuera och/eller redigera detta dokument 
i enlighet med villkoren i GNU Free Documentation License, Version 1.2 
eller senare, utgiven av Free Software Foundation; exklusive eventuella 
oföränderliga avsnitt och text på fram- och baksida. En kopia av licensen 
finns i sin helhet som vedlägg till dokumentet.

Precis som kryptografi-programmet Gpg4win är inte detta dokumentet skrivit
för matematiker, säkerhets- och kryptografi-experter, utan för att vem som 
helst skall kunna använda den.


%%\clearpage
%% Orginal page  6
%% We don't use these foreword anymore because Mr. Müller is not
%% anymore minister of economic and technology.  We might want to ask
%% for a new foreword by the current head of that minister.

\clearpage
%% Orginal page 7
\xname{Om denna handboken}
\chapter*{Om denna handboken \htmlonly{\html{br}\html{br}}}

Handboken för Gpg4win består av tre delar:

\begin{itemize}
\item \textbf{Teil~\ref{part:Nybörjare} "`För nybörjare"'}: En
    snabbguide för Gpg4win.

\item \textbf{Teil~\ref{part:Vidarekomna} "`För
    Vidarekomna"'}:
    Bakgrundskundskap om Gpg4win.

\item \textbf{Övningsroboten Adele} är tillgänglig på Internet och erbjuder
  hjälp med kryptering och dekryptering av epost så mycket och ofta du vill.
\end{itemize}

\textbf{Teil~\ref{part:Nybörjare} "`För nybörjare"'} tar dig snabbt och enkelt
genom installation och dagligen användande av Gpg4win. Tiden det tar dig att
fullföra snabbguiden beror bland annat på hur gott du känner din dator och ditt 
operativsystem, men bedömas att ta ungefär en timma.

\textbf{Teil~\ref{part:Vidarekomna} "`För vidarekomna"'} tydliggör hur de 
grundläggande mekanismerna i Gpg4win fungerar och visar avancerade funktioner som
man använder mer sällan.

Båda delarna av handboken kan användas oberoende av varandre. För optimal förståelse
bör man dock läsa dom i den angivna ordningsföljden.

\textbf{Övningsroboten Adele} står till disposition på Internet. Adele tar emot och
skickar epost krypterad med OpenPGP och kan även dekryptera. Genom att erbjuda en
komplett krypteringsdialog hjälper Adele dig med att behärska programvaran och du
kan öva dig så mycket du vill.

Adele blev skapad genom den gamla projektet GnuPP och kör fortfarande där.
"`Gpg4win-kompendiet"' använder roboten för övningar och tackar innehavaren av
gnupp.de för driften av Adele.



\clearpage %% End of original page 4.

\xname{innehåll}
\tableofcontents




%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
% Part I
\clearpage
\xname{1-nybörjare}
\T\part{För nybörjare}
\W\part*{\textbf{I För nybörjare}}
\label{part:nybörjare}
\addtocontents{toc}{\protect\vspace{0.3cm}}
\addtocontents{toc}{\protect\vspace{0.3cm}}


%% Orginal page 8
\xname{vad-ar-gpg4win}
\chapter{Vad är Gpg4win?}

\textbf{Projektet Gpg4win (GNU Privacy Guard for Windows) är ett komplett
krypteringsverktyg för epost och data. Gpg4win version 2 består av följande
komponenter:}

\begin{description}
    \item[GnuPG:] GnuPG är kärnan i Gpg4win: Krypteringsprogramvaran.
    \item[Kleopatra:] Den centrala certifikatshanteraren för Gpg4win.
	Stöder OpenPGP och X.509/linebreak (S/MIME) och sörjer för en
	enhetlig användargränssnitt för alla krypteringsfunktioner.
    \item[GpgOL:] GnuPG för Outlook (GpgOL) är en modul för Microsoft
	Outlook 2003 och 2007 som möjliggör kryptering av meddelande med
	OpenPGP eller S/MIME.
    \item[GpgEX:] GPG Explorer eXtension (GpgEX) är en modul för Windows
	Explorer som möjliggör kryptering via kontextmenyn.
    \item[GPA:] GNU Privacy Assistant (GPA) är ett alternativ till Kleopatra
	för hantering av OpenPGP-certifikat.
    \item[Claws Mail:] Claws Mail är ett komplett epost-program med mycket
	bra stöd för GnuPG.
\end{description}

Med krypteringsprogrammet GnuPG (GNU Privacy Guard) kan vem som helst 
kryptera sin epost säkert, enkelt och gratis. GnuPG kan användas utan
restriktioner privat och kommersiellt. Krypteringsteknologin som används
av GnuPG är mycket säker och kan inte brytas med dagens tekniker.

GnuPG är \textbf{Fri Programvara}\footnote{ofta också betecknat som Open
Source}. Det innebär att vem som helst har rätt att använda den oavsett
syfte, till privat och kommersiell bruk. Med Fri Programvara har man även
tillgång till källkoden och rätt att ändra denna, samt att distribuera sina
modifikationer.\footnote{Även om det eftertryckligt är tillåtet bör man inte
ändra denna programvaran utan fackkunskaper, eftersom man kan inskränka
säkerheten det erbjuder.}

För ett säkerhetsprogram är den garanterade transparensen som källkoden
erbjuder en fundamental grundlag. Endast på detta sättet kan ett programs
förtroende provas.

GnuPG är baserat på den internationala standarden \textbf{OpenPGP} (RFC 
4880), är fullständigt kompatibel med PGP och använder den samma 
infrastruktur (certifikatserver, etc.). Sedan version 2 av GnuPG stöds
även kryptografi-standarden \textbf{S/MIME} (CMS/RFC 3852 bzw. X.509).

PGP ("`Pretty Good Privacy"') är ett alternativ som inte är Fri Programvara.
En version var för många år sedan tillgänglig under samma betingelser som
GnuPG, men denna versionen uppfyller inte de säkerhetsmässiga kriterier som
krävs av dagens teknik.

Föregångaren till Gpg4win fick stöd av das Bundesministerium für
Wirtschaft und Technologie, och Gpg4win und Gpg4win2 från das 
Bundesamt für Sicherheit in der Informationstechnik.

Mera information om GnuPG och projekt från den tyska regeringen som syftar
att skydda Internet finnas på webbsidorna 
\uniurl[www.bsi.de]{http://www.bsi.de} och
\uniurl[www.bsi-fuer-buerger.de]{http://www.bsi-fuer-buerger.de}.


\clearpage
%% Original page 6
\xname{varfor-kryptera-overhuvudtaget}
\chapter{Varför kryptera överhuvudtaget?}
\label{ch:why}

Kryptering av meddelande blir ofta betecknat som det näst äldsta yrket i
världen. Krypteringstekniker blev använt redan av Fharao Khnumhotep II, 
Herodot och Caesar. Tack vare Gpg4win är kryptering numera fritt och gratis
tillgänglig för vem som helst.\ldots

\begin{center}
\htmlattributes*{img}{width=300}
\IncludeImage[width=0.9\textwidth]{egyptian-stone}
\end{center}

Datatekniken har givit oss fantastiska möjligheter att kommunicera med
varandra över hela världen och inhämta information från var som helst. Men
rättigheter som i andra former för kommunikation länge har varit självklara
måste man aktivt säkra med de nya teknologierna. Internet har kommit så 
snabbt och massivt över människan att våra rättigheter fortfarande inte har
hunnit med.

I det gammalmodiga brevskrivandet skyddade man innehållet naturligtvis med
ett kuvert. Detta hindrade främmande blick från att läsa meddelandet, och
man kunde enkelt märka om någon hade brutit förslutningen. Om meddelandet
inte var speciellt viktigt kunde man skicka det på ett oskyddat postkort, 
som även postombudet och andre hade möjlighet att läsa.

\clearpage
%% Original page 7

Om ett meddelande är viktigt, förtroligt eller hemligt bestämmer du själv,
och ingen andra.

Friheten att avgöra detta har du dock inte med epost. Ett normalt e-brev är
oftast som ett postkort, och "`postombudet"' -- och andra -- har alltid
möjlighet att läsa det. Och inte nog med det; datatekniken ger inte  bara
möjligheten för distribution och förmedling av de millioner e-brev som 
skickas dagligen, men också att kontrollera dessa.

Förut hade ingen tänkt på att samla in alla brev och postkort för att värdera
innehållet och protokollföra avsändare och mottagare. Det ville inte ha varit
praktiskt genomförbart, eller hade i alla fall tagit allt för lång tid. Med
dagens IT är det däremot tekniskt möjligt. Det finns många bevis för att detta
redan händer i stor stil med din epost\footnote{Tänk bara på
\uniurl[Echelon-systemet]{\EchelonUrl}%
\T ~(se \uniurl{\EchelonUrl})%
.}.

Därför att: Kuvertet saknas.

\begin{center}
\htmlattributes*{img}{width=300}
\IncludeImage[width=0.3\textwidth]{sealed-envelope}
\end{center}

\clearpage
%% Original page 8

Förslag: Skaffa ett "`kuvert"' för din epost. Om du använder det, hur ofta
och för vilka meddelande bestämmer du själv. Programvara som Gpg4win ger dig 
tillbaka valfriheten till själv att avgöra om ett meddelande är viktigt och
värd att skydda eller inte.

Detta är kärnan av brevhemligheten i grundlagen, och denna rätten kan du få
med programvaran Gpg4win. Du behöver naturligtvis inte använda den till alla
dina meddelande, men det är i alla fall din rätt att göra det om du vill.

För att säkra denna rätten erbjuder Gpg4win så kallad "`stärk 
krypteringsteknik"'. "`Stärk"' betyder här att den inte kan brytas med dagens
tekniker. I många länder var stärka krypteringsmetoder förbehållet militär och
stat. Rätten att nyttiggöra kryptering för alla har Internetanvändarna erövrad 
med mycket ansträngning, ofta även med hjälp av kloka och långsiktiga människor
i regeringsinstitutioner, som är tillfället med porteringen av GnuPG till 
Windows. GnuPG räknas som praktiskt och säker programvara av experter i hela
världen.

\textbf{Hur värdefull säkerheten är för dig bestämmer du själv.}

Du allena bestämmer förhållandet mellan bekvämlighet och mest möjlig säkerhet
vid kryptering. Därtill hör de små men viktiga försiktighetsåtgärder som du 
måste vidta för att använda Gpg4win riktigt. I denna handboken berättar vi hur
detta göras steg för steg...

\clearpage
\xname{tva-vagar-ett-mal}
\chapter{Två vägar, ett mål: OpenPGP \& S/MIME}
\label{ch:openpgpsmime}

Som så ofta finns det två vägar för att nå samma mål, och detta gäller även
när det gäller kryptering av din epost, med standardene OpenPGP och S/MIME.
Båda standarder möjliggör kryptering av din epost med Fri Programvara som
Gpg4win.

Vid kryptering respektive säkerhet av hemlig dataöverföring finns det två 
perspektiv som är speciellt viktiga. Å ena sidan har vi garantin för att 
innehållet är \textbf{hemlighållit}, och å andra sidan har vi \textbf{autentisitäten}
av avsändaren. Autentisität innebär i detta fallet att innehållet faktiskt 
härstammar från den påstådde avsändaren.

\subsubsection{Det gemensamma: "`Public-Key"'-metoden}
Båda OpenPGP och S/MIME använder "`Public-Key"'-metoden för hemlighållande. Vad 
innebär detta?

Föreställ dig att ditt e-brev eller dina data befinner sig i en ask. I motsats till
en "`normal"' lås med nyckel använder man i "`Public-Key"'-metoden ett \textbf{nyckelpar}
för kryptering och dekryptering. Man har en nyckel för att låsa innehållet (den 
\textbf("`publika nyckeln"'}) och en nyckel för att låsa upp det (den \texbf{privata
nyckeln}).

Om man ser den publika nyckeln ihop med informationen om nyckeln (så kallad metadata),
talar man gärna om ett publikt \textbf{certifikat}. Till metadata hör tex. användar-ID
epost-adress och giltighetstid (se kapitlet~\ref{ch:CertificateDetails}).

Egenskaperna privat och publik gäller oberoende om man använder en ren ("`naken"')
nyckel eller ett certifikat (nyckel med metadata).\\
Märk: \textit{Tekniskt sett} är det bara nyckeln som blir använt för kryptografien
(kryptering och signering); \textit{i praktiken} hanterar man endast certifikat
(som tex. i programmer som Gpg4win).

I exemplet med asken ovan låter det närmast komiskt att operera med en privat
och en publik nyckel, men i programvaran löser denna idéen problemet med att
man måste ge bort nyckeln för att mottagaren skall kunna låsa upp asken.
Normalt måste man använda samma nyckel för att låsa upp som för att låsa in.
När man låser något in i asken för en annan måste man därmed ge bort båda asken
\textbf{och} nyckeln. Om man tappar nyckeln eller någon gör en kopia är det 
ett stort problem.

Med "`Public-Key"'-metoden låser man asken med sitt 
\textbf{"`publika certifikat"'}, och stänger det med sin 
\textbf{"`privata nyckel"'}. Därmed behöver man endast transportera asken
till mottagaren. Detta är i alla fall säkrare än att skicka med den privata
nyckeln, även om man skickar den en annan väg än asken.

Trots att de har stora likheter med metoden för hemlighållande skiljer
OpenPGP och S/MIME sig, bland annat när det gäller hur nycklarna skapas.
(Detta kan du läsa mera om i kapitlet~\ref{ch:CreateKeyPair}).

\textbf{Om du undrar på hur "`Public-Key"'-metoden kan fungera på detta
sättet kan du läsa kapitlet~\ref{ch:FunctionOfGpg4win}.}
\textbf{Om du så undrar på varför Gpg4win är så säker kan 
kapitlen~\ref{ch:themath} och \ref{ch:secretGnupg} 
vara precis vad du är ute efter.}
Med lite intresse och tid kan man där även förstå de små matematiska
hemligheter bak krypteringen. Lycka till med upptäckandet.

% TODO: Grafik?! (z.B. Alice - Bob Transport-Problem)

\clearpage
\subsubsection{Skillnaden: Autentiseringen}

Den största skillnaden mellan OpenPGP och S/MIME är autentiseringen.

För att bekräfta autentisitäten av en avsändare behöver man vid 
\textbf{S/MIME} ett certifikat som kan garantera denna. Detta innebär
att man måste få sin publika nyckel attesterad av en godkänd organisation
för att den skall vara giltig. Denna organisationen måste vidare bestyrkas
av en annan organisation som står högre i hierarkin osv. tills man kommer
till ett rotcertifikat. Om man litar på rotcertifikatet kan man därmed
lita på alla andra certifikat i samma hierarki. Detta kallar man ett
\textbf{hierarkisk förtroendekoncept}. För det mesta består kedjan av
endast tre komponenter: Rotcertifikat, certifikatutfärdare (även känd
som CA för Certificate Authority) och användare. Roten certificerar
CA, och CA certificerar användaren.

I motsats till detta användar \textbf{OpenPGP} som regel en direkta
"`peer-to-peer"'-certificering (användare A certificerar användare B,
B certificerar A och C, osv.) och gör därmed certificeringsträdet till
ett certificeringsnät, det så kallade \textbf{Web-of-Trust}. När det
gäller direkt autentisering vid OpenPGP har man alltså möjligheten att
utväxla krypterad data \textit{utan} certificering från en godkänd 
organisation. Det är tillräckligt att man själv attesterar certifikatet
från sin kommunikationspartner.

\textbf{Mer information om olika metoder för autentisering, 
som tex. Web-of-Trust och certifikatutfärdare hittar du senare 
i kapitlet~\ref{ch:trust}.}

% TODO: Grafik?! (z.B. Alice - Bob Authentizität-Problem)

\clearpage
\subsubsection{Kort sammanfattad}

Vad innebär detta för dig?
\begin{itemize}
\item Båda \textbf{OpenPGP} och \textbf{S/MIME} erbjuder den nödvändiga
    säkerheten.
\item Metoderna är dock \textbf{inte kompatibla} med varandra. De 
    erbjuder två separata vägar till autentisering av din hemliga kommunikation.
    De är med andra ord inte interoperabla.
\item \textbf{Gpg4win} som Fri Programvara möjliggör på ett bekvämt sätt att
använda metoderna \textbf{parallellt}.
\end{itemize}

Om detta var lite för mycket information behöver du dock inte oroa dig: I
följande kapitlen får du en detaljerad genomgång av installation och 
kryptering med båda OpenPGP och S/MIME.

De följande symbolen blir använt i detta kompendiet för att specificera
förklaringar som gäller speciellt för OpenPGP eller S/MIME.

\begin{center}
\IncludeImage[width=3cm]{openpgp-icon}
\hspace{1cm}
\IncludeImage[width=3cm]{smime-icon}
\end{center}



\clearpage
\xname{installation-av-gpg4win}
%% Orginal page 9
\chapter{Installation av Gpg4win}

Nu kan du börja med installationen av Gpg4win. Märk att du för detta behöver
administrator-rättigheter för operativsystemet.

Om du redan har ett program baserat på GnuPG installerad bör du först läsa
tillägget \ref{ch:migration}, för att ta reda på hur du behåller dina sparade
certifikat.

Om du har laddat ner Gpg4win från Internet:
\vspace{-0.28cm}
\begin{quote}
Klicka på
den sparade filen, som skall ha följande
namn:\\
\texttt{gpg4win-2.0.0.exe} (eller med ett högre versionsnummer).

Försäkra dig om att du skaffar filen från en betrodd 
webbsajt, tex.:
\uniurl[www.gpg4win.de]{http://www.gpg4win.de}
\end{quote}

Om du har mottagit Gpg4win på en CD-ROM-skiva:
\vspace{-0.28cm}
\begin{quote}
    Placera CD-skivan i CD-ROM-spelaren på din dator.
 Öppna din "`Arbetsplats"' och klicka på CD-ROM-ikonen som har namnet
"`Gpg4win"'. Klick så på installations-ikonen med titeln "`Gpg4win"'.
\end{quote}

Den vidare installationen är identisk, oberoende av medium:

Frågan om du vill installera programmet besvarar du 
med \Button{Ja}.

\clearpage
Installationsassistenten startar och frågar dig först vilket språk
du önskar använda för installationen:
% TODO screenshot: Installer Sprachenauswahl
\begin{center}
\IncludeImage[width=0.45\textwidth]{sc-inst-language_se}
\end{center}

Bekräfta språkvalet med \Button{OK}.
Du vill så bli mött av följande dialog:

% TODO screenshot: Installer Willkommensseite
\begin{center}
\IncludeImage{sc-inst-welcome}
\end{center}

Avsluta alla andra körande program på din dator och klicka så på \Button{Nästa}.

\clearpage
%% Orginal page 10

På sidan med \textbf{Licensavtal}, kan du läsa information
om licensen som programvaran använder.

Om du vill installera programmet omedelbart har du all rätt till detta
och är inte förpliktad att läsa licensen.

Om du däremot önskar att ändra eller dela programvaran måste du göra detta
under de betingelser som licensen dikterar.

% TODO screenshot: Lizenzseite des Installers
\begin{center}
\IncludeImage{sc-inst-license}
\end{center}


Tryck på \Button{Nästa}.


\clearpage
%% New page (not in original document)

I dialogen med \textbf{Komponentval} bestämmer
du vilka program som skall installeras.

Ett förhandsurval är redan gjort med de programmer som normalt 
används. De resterande kan du även välja att installera senare.

Om du håller muspekaren över urvalet vill du få en kort 
beskrivning av varje program som hjälper dig med avgörandet.

Du vill också få se en översikt över hur mycket plats på
harddisken som behövs av programinstallationen.


% TODO sreenshot: Auswahl zu installierender Komponenten
\begin{center}
\IncludeImage{sc-inst-components}
\end{center}

Tryck på \Button{Nästa}.


\clearpage
%% Original page 11

Du har nu möjligheten att välja vilken mapp på din dator Gpg4win skall
installeras i. Du kan som regel välja den föreslagna stigen:
\Filename{C:$\backslash$Programfiler$\backslash$GNU$\backslash$GnuPG}

% TODO screenshot: Auswahl des Installationsverzeichnis.
\begin{center}
\IncludeImage{sc-inst-directory}
\end{center}

Tryck så på \Button{Nästa}.

\clearpage

På den följande sidan kan du välja vilka
\textbf{kopplingar} som skall installeras.  Som standard
föreslås en koppling med Start-menyn.  
Dessa kopplingarna kan ändras när som helst med Windows-verktygen.

% TODO screenshot: Auswahl der Startlinks
\begin{center}
\IncludeImage{sc-inst-options}
\end{center}

Tryck så på \Button{Nästa}.

\clearpage
%% Original page 12

Om du valde att \textbf{koppla med start-menyn} på förra sidan,
får du nu möjlighet att välja namnet på meny-mappen.

% TODO screenshot:  Startmenu auswählen
\begin{center}
\IncludeImage{sc-inst-startmenu}
\end{center}

Det enklaste är att acceptera den föreslagna inställningen och
trycka på \Button{Installera}.

\clearpage

Medan programmet installeras ser du en förloppsindikator, samt
information om vilka data som blir installerad. Du kan när som
helst trycka på \Button{Visa~detaljer} för att få en översikt
över installationen.

% TODO screenshot: Ready page Installer
\begin{center}
\IncludeImage{sc-inst-ready}
\end{center}

Etter att installationen är slutförd trycker du på 
\Button{Nästa}.

\clearpage
%% Original page 13

Etter en vällyckad installation blir du presenterad med denna 
sista sidan som visar detaljerad information om installationen:

% TODO screenshot: Finish page Installer
\begin{center}
\IncludeImage{sc-inst-finished} 
\end{center}

Om du inte vill läsa README-filen, deaktiverar du detta valet.

Tryck så på \Button{Slutför}.

\clearpage

I några fall kan det hända att Windows måste startas om. Om detta
är fallet vill du se följande sida:

% TODO screenshot: Finish page Installer with reboot
\begin{center}
\IncludeImage{sc-inst-finished2}
\end{center}

Här kan du välja om Windows skal startas om omedelbart eller om
du vill göra det själv senare.

Tryck också här på \Button{Slutför}.


% FIXME TODO:  Wir müssen erklären wie man Word als Standard Editor in
% Outlook ausschaltet.

\clearpage
%% Original page 14

\textbf{Det var allt!}

Du har nu genomfört en vällyckad installation av Gpg4win och kan starta
programmet för första gång.

Först borde du dock läsa kapitlet~\ref{ch:FunctionOfGpg4win}.
Där vill du lära hur genialt det är att säkert och bekvämt kryptera
din epost. Gpg4win fungerar naturligtvis lika gott utan att du förstår
varför, men i motsats till andra program vill du endast önska att
använda det med din hemliga korrespondens. Därför borde du veta vad
som föregår.

Dessutom är hela saken ganska spannande$\ldots$

I kapitlet~\ref{ch:passphrase} får du tips till
hur du skapar dig en säker lösenfras som samtidigt 
är enkel att komma i håg.

För information om \textbf{automatisk installation} av Gpg4win, läs
tillägget \ref{ch:auto} "`Automatisk installation av Gpg4win"'.


\clearpage
\xname{skapa-ett-nyckelpar}
%% Original page 15
\chapter{Skapa ett nyckelpar}
\label{ch:CreateKeyPair}

När du har läst varför GnuPG är så säkert (kapitel \ref{ch:themath})
och hur du skapar en god lösenfras för din privata nyckel 
(kapitel \ref{ch:passphrase}), kan du börja generera ditt
personliga nyckelpar.

Som du läs om i kapitlet~\ref{ch:openpgpsmime} består ett nyckelpar
av en \textbf{publik} och en  \textbf{privat nyckel}. 

Tillsammans med metadata (e-post-adress, användar-ID etc.) som du får
när du upprättar ditt nyckelpar vill du ha ett komplett certifikat med
publik och privat nyckel.

Denna definitionen gäller båda OpenPGP och S/MIME och det resulterade
certifikatet följer standarden som kallas "`X.509"'.

~\\
\textbf{Att skapa ett nyckelpar är ett viktigt steg
och man borde kunna öva lite på just detta$\ldots$}

Det kan du också göra, och med OpenPGP är det enkelt:

\T\margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
Du kan gå genom det kompletta förloppet med generering av
nyckelparet, kryptering och dekryptering så mycket du vill,
tills du är säker på hur det fungerar.

Vid att göra denna övningen vill du göra dig förtrolig med
Gpg4win och efter några genomgånger blir inte nyckelpar-genereringen 
något problem alls.

Din partner i dessa övningarna blir \textbf{Adele}.

Adele är en testservice som härstammar från det gamla GnuPP-projektet.
Den är fortfarande i drift och kan naturligtvis används även med
Gpg4win. Med hjälp av Adele kan du prova och testa ut ditt nyckelpar
innan du börjar använda det på riktigt. Mer om detta senare.


\clearpage
%% Original page 16
\textbf{Då börjar vi!}
Starta programmet Kleopatra från Windows' start-meny:

% TODO screenshot Startmenu with Kleopatra highlighted
\begin{center}
\htmlattributes*{img}{width=400}
\IncludeImage[width=0.45\textwidth]{sc-kleopatra-startmenu_de}
\end{center}

Du vill då få se huvudfönstret i Kleopatra -- certifikathanteraren:

% TODO screenshot: Kleopatra main window
\begin{center}
\htmlattributes*{img}{width=508}
\IncludeImage[width=0.6\textwidth]{sc-kleopatra-mainwindow-empty_de}
\end{center}

Till att börja med är denna översikten tom, eftersom du ännu inte har
importerad några certifikat. Detta kan du nu göra något med...

\clearpage
Tryck på \Menu{Data$\rightarrow$Nytt-certifikat}. 

I dialogen som följer väljer du vilket format certifikaten skall
använda. Du kan välja mellan \textbf{OpenPGP} (PGP/MIME) och \textbf{X.509} (S/MIME).
För att se vad som är skillnaden kan du läsa kapitlet \ref{ch:openpgpsmime} på
sidan \pageref{ch:openpgpsmime}.

\label{chooseCertificateFormat}
% TODO screenshot: Kleopatra - New certificate - Choose format
\begin{center}
\IncludeImage[width=0.6\textwidth]{sc-kleopatra-ChooseCertificateFormat_de}
\end{center}

%% Original page 17

~\\Den vidare beskrivningen av hur du skapar ett nyckelpar delar
sig här i två avsnitt:

\begin{itemize}
    \item Avsnitt \ref{createKeyPairOpenpgp}: \textbf{Skapa ett OpenPGP-nyckelpar}
     \T(se nästa sidan)
     und
    \item Avsnitt \ref{createKeyPairX509}:
        \textbf{Skapa ett X.509-nyckelpar} 
        \T (se sidan \pageref{createKeyPairX509}).
        
\end{itemize}

Läs det avsnitt som motsvarar certifikatformatet du har vald.


\clearpage
%% OpenPGP %%
%% Original page 18
\section{Skapa ett OpenPGP-nyckelpar}
\label{createKeyPairOpenpgp}

Tryck i dialogen på knappen som säger
\Button{Skapa ett personlig OpenPGP-nyckelpar}.

\T\margin{\IncludeImage[width=1.5cm]{openpgp-icon}}

I det följande fönstret anger du ditt namn och din epost-adress.

% TODO screenshot: New Certificate - Personal details
\begin{center}
\IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-personalDetails_de}
\end{center}

Om du bara önskar att testa skapandet av ett OpenPGP-nyckelpar kan du välja
att lägga in ett tillfälligt namn och en vilken som helst epost-adress,
tex.:\\ \verb-Heinrich Heine- och \verb-heinrichh@gpg4win.de-.

Om du vill kan du även lägga in en kommentar till nyckelparet. Normalt
står detta fältet tomt, men om du skapar en testnyckel borde du skriva
in "`test"' här för att lätt komma i håg det. Denna kommentaren är del
av din användar-ID, och precis som ditt namn och din epost-adress vill
den senare vara offentlig synbar.

\textbf{Utvidgade inställningar} behövs bara undantagsvis.
För en mer detaljerad beskrivning om dessa kan du läsa i
Kleopatra-handboken (välj \Menu{Hjälp$\rightarrow$Kleopatra-handboken}).

Tryck på \Button{Nästa}.

\clearpage
Nu blir dina valda inställningar listad upp så att du kan kontrollera dem.
Om du är intresserad av de avancerade inställningarna kan du trycka på
valet \textit{Alla detaljer}.

% TODO screenshot: New Certificate - Review Parameters
\begin{center}
\IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-reviewParameters_de}
\end{center}

Om allt stämmer trycker du på 
\Button{Skapa nyckel}.


\clearpage
%% Original page 19
Nu följar den viktigaste delen: Att skriva in din \textbf{lösenfras}!

Under genereringen av nycklarna blir du bett om att skriva in din
personliga lösenfras:

% screenshot: New certificate - pinentry
\begin{center}
\IncludeImage[width=0.45\textwidth]{sc-kleopatra-openpgp-pinentry_de}
\end{center}

I kapitlet~\ref{ch:passphrase} 
\T (side \pageref{ch:passphrase})
hittar du värdefulla tips till hur du kan skapa en
\textbf{säker lösenfras}. Ta säkerheten på 
allvar när det gäller lösenfrasen!

Du borde nu ha en lösenfras klar som är hemlig, enkel att komma i håg
och svår att bryta. Skriv den in i dialogboxen.

Du måste ange lösenfrasen två gånger. Bekräfta den varje
gång med \Button{OK}.\\


Nu blir ditt OpenPGP-nyckelpar genererat:
% TODO screenshot: New Certificate - Create Key
\begin{center}
\IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-createKey_de}
\end{center}

Detta kan ta några minuter. Under mellantiden kan du gärna arbeta med
andra saker på din dator. Det vill även göra kvaliteten på nyckelparet
bättre.

\clearpage
Så snart \textbf{nyckelpargenereringen är färdig} vill du se
följande dialog:

%TODO screenshot: New certificate - key successfully created
\begin{center}
\IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-keyPairCreated_de}
\end{center}

I fönstret:s textfält visas det 40-siffriga "`Fingeravtrycket"' från ditt
nya OpenPGP-certifikat. Detta fingeravtrycket (engl. "`fingerprint"`) 
är unikt i världen, dvs ingen andra har ett certifikat med samma
fingeravtryck. Faktiskt är det osannolikt att det även med åtta siffror 
skulle vara två lika fingeravtryck, och därför blir ofta bara de åtta
sista siffrorna använt. Detta fingeravtrycket indentifierar certifikatet:s
identitet, precis som ett vanligt fingeravtryck identifierar en person.

Du behöver inte minnas eller skriva ner tecknen i fingeravtrycket. I
certifikat-detaljerna i Kleopatra kan du när som helst hämta fram det.


\clearpage
Nu har du möjligheten att genomföra en eller flera av följande steg:
\begin{description}
    \item[Göra en säkerhetskopia av certifikatet
	för OpenPGP-nyckelparet.]
    ~\\Tryck på knappen som säger
    %TODO-Kleo ändern
    \Button{Skapa en säkerhetskopia av ditt certifikat...}

    Här lägger du in vägen vart certifikatet skall 
    exporteras:

    % TODO screenshot: New certificate - export key
    \begin{center}
    \IncludeImage[width=0.45\textwidth]{sc-kleopatra-openpgp-exportSecretKey_de}
    \end{center}

    Kleopatra väljer automatiskt filtyp och sparar certifikatet
    för nyckelparet
    som \textit{.asc} respektive \textit{.gpg} --
    beroende på om du kryssade av för \textit{ASCII-skydd} (engl.
    "`ASCII armor"').

    Tryck så på \Button{OK} för att avsluta.

    \textbf{OBS:} Om du sparade filen på din dators harddisk
    borde du snarast kopiera den över på ett annat lagringsmedium
    (USB-pinne, diskett eller CD-ROM) och föllständig radera (inte
    bara lägga i papperskorgen) originalfilen. Bevara lagringsmediet
    på ett säkert ställe.

    Du kan när som helst vid en senare tidpunkt göra en säkerhetskopia;
    välj följande från Kleopatra:s huvudmeny:
    \Menu{Fil$\rightarrow$Exportera certifikat...} (se
    kapitel \ref{ch:ImExport}).

    \item[Skicka ditt publika certifikat som e-post.]
    ~\\Tryck på knappen
    \Button{Skicka certifikat som e-post}.

    Det vill då skapas en ny e-post -- med ditt nya certifikat bifogad.
    Din privata OpenPGP-nyckel blir naturligtvis \textit{inte} skickad.
    Lägg in mottagarens e-postadress och ändra huvudtexten i e-posten
    om du önskar.

    \textbf{Märk:} Inte alla e-postprogram stöder denna funktionen.
    Om det inte dyker upp något fönster måste du avsluta 
    certifikatgenereringsassistenten, spara ditt publike certifikat med
    \Menu{Fil$\rightarrow$Exportera certifikat} och skicka denna filen
    manuellt per e-post till mottagaren.
    (Mer detaljerad information hittar du i \ref{sec_publishPerEmail}).

    %TODO-Kleo: Verzeichnisdienst -> Zertifikatsserver
    \item[Spara ditt publika certifikat på en
        OpenPGP-certifikatserver.]
    ~\\Tryck på
    \Button{Skicka certifikat till certifikatserver...}
    och följ anvisningarna.

    Hur du lägger in en certifikatserver i Kleopatra och får ditt
    certifikat publicerad på denna kan du läsa mer om i 
    kapitlet~\ref{ch:keyserver}.
\end{description}

~\\
Avsluta så Kleopatra-assistenten med
\Button{Slutför}, för att fullända processen med att skapa ett
OpenPGP-certifikat.

Du kan nu fortsätta med avsnittet \textit{Avsluta nyckelpar-genereringen}
på sidan~\pageref{sec_finishKeyPairGeneration}. Därifrån är förklaringene
för OpenPGP och X.509 identiska.


%% X.509 %%
%% Original page 21
\clearpage
\section{Skapa ett X.509-nyckelpar}
\label{createKeyPairX509}

I dialogen för certifikatformat på 
\T\margin{\IncludeImage[width=1.5cm]{smime-icon}}
sida~\pageref{chooseCertificateFormat} trycker du på knappen\\
\Button{Skapa X.509-nyckelpar och förtroendebegäran}.

I fönstret som dyker upp anger du namn (CN), din e-postadress
(EMAIL), organisation (O) och landskod (C). Om du önskar kan
du även lägga in stad (L) och avdelning (OU).

Om du endast vill \textbf{testa} generera ett X.509-nyckelpar
kan du lägga in vad som helst för namn, organisation och landskod,
samt en fiktiv e-postadress, tex.:\texttt{CN=Heinrich Heine, O=Test, C=DE} 
och \verb-heinrichh@gpg4win.de-.

% TODO screenshot: New X.509 Certificate - Personal details
\begin{center}
\IncludeImage[width=0.6\textwidth]{sc-kleopatra-x509-personalDetails_de}
\end{center}


\textbf{Utvidgade inställningar} behövs bara undantagsvis.
För en mer detaljerad beskrivning om dessa kan du läsa i
Kleopatra-handboken (välj \Menu{Hjälp$\rightarrow$Kleopatra-handboken}).

Tryck på \Button{Nästa}.

\clearpage

Nu blir dina valda inställningar listad upp så att du kan kontrollera dem.
Om du är intresserad av de avancerade inställningarna kan du trycka på
valet \textit{Alla detaljer}.

% TODO screenshot: New Certificate - Review Parameters
\begin{center}
\IncludeImage[width=0.6\textwidth]{sc-kleopatra-x509-reviewParameters_de}
\end{center}

Om allt stämmer trycker du på 
\Button{Skapa nyckel}.

\clearpage
%% Original page 19
Nu följar den viktigaste delen: Att skriva in din \textbf{lösenfras}!

Under genereringen av nycklarna blir du bett om att skriva in din
personliga lösenfras:

%TODO screenshot: New certificate - pinentry
\begin{center}
\IncludeImage[width=0.45\textwidth]{sc-kleopatra-x509-pinentry_de}
\end{center}

Märk att fönstret var du skriver in lösenfrasen kan bli öppnat i
bakgrunden (och är därmed inte omedelbart synbar).

I kapitlet~\ref{ch:passphrase}, sidan \pageref{ch:passphrase},
hittar du värdefulla tips till hur du kan skapa en
\textbf{säker lösenfras}. Ta säkerheten på 
allvar när det gäller lösenfrasen!

Du borde nu ha en lösenfras klar som är hemlig, enkel att komma i håg
och svår att bryta. Skriv den in i dialogboxen.

I fall lösenfrasen inte är säker nog (tex. för att den är för kort eller
inte innehåller siffror/specialtecken) blir du uppmärksammat på detta.

För att vara säker på att du inte skriver fel måste du ange lösenfrasen
två gånger. Avslutningsvis blir du även bett om att skriva in lösenfrasen
en tredje gång för att signera certifikatbegäran med din privata nyckel.
Bekräfta dina uppgifter med \Button{OK}.\\

\clearpage
Nu blir ditt X.509-nyckelpar genererat:
% TODO screenshot: New Certificate - Create Key
\begin{center}
\IncludeImage[width=0.6\textwidth]{sc-kleopatra-x509-createKey_de}
\end{center}

Detta kan ta några minuter. Under mellantiden kan du gärna arbeta med
andra saker på din dator. Det vill även göra kvaliteten på nyckelparet
bättre.

\clearpage
Så snart \textbf{nyckelpargenereringen är färdig} vill du se
följande dialog:

%TODO screenshot: New certificate - key successfully created
\begin{center}
\IncludeImage[width=0.6\textwidth]{sc-kleopatra-x509-keyPairCreated_de}
\end{center}

\clearpage
Nu har du möjligheten att genomföra en eller flera av följande steg:
\begin{description}
    \item[Spara certifikatbegäran som fil.] 
    ~\\Tryck på knappen som säger
    \Button{Spara certifikatbegäran som fil...}

    Ange vägen vart X.509-certifikatbegäran skall sparas,
    och bekräfta valet. Kleopatra lägger automatiskt till
    filefternamnet \textit{.p10}. Du kan överföra denna filen
    senare till en certifierare på olika sätt.

    \item[Skicka certifikatbegäran som e-post.]
    ~\\Tryck på knappen som säger
    \Button{Skicka certifikatbegäran som e-post}.

    Det blir skapat en ny e-post med certifikatbegäran bifogat.
    Ange mottagarens e-postadress (normalt en godkänd certifierare 
    (CA), och redigera den föreslagna huvudtexten.

    \textbf{Märk:} Inte alla e-postprogram stöder denna funktionen.
    Om det inte dyker upp något fönster, sparar du begäran som förklarat
    ovan och skicka denna filen per e-post till din certifierare.

    När begäran har blivit godkänd av din CA vill du mottaga ett 
    undertecknat X.509-certifikat från din CA-systemadministratör.
    Detta måste du så importera till Kleopatra (se. kapitlet \ref{ch:ImExport}).
\end{description}

Stäng så Kleopatra-assistenten med
\Button{Avsluta}.



\clearpage
\subsubsection{Skapa ett X.509-nyckelpar med www.cacert.org}
CAcert är en gemenskapsdriven icke-kommersiell certifierare (CA),
som utfärdar X.509-certifikat gratis.

För att du skall kunna skaffa dig ett (klient-)certifikat från CAcert
måste du först registrera dig på \uniurl[www.cacert.org]{http://www.cacert.org}

Därefter kan du skapa dig ett (eller flera) (klient-)certifikat från ditt
CAcert-konto. Du bör välja en tillräcklig nyckellängd (tex. 2048 Bit).
I assistenten som startas lägger du in din säkra lösenfras.

Din X.509-certifikatbegäran blir nu skapat.

Du vill sen motta en e-post med två länkar till ditt nya X.509-certifikat
och det tillhörande CAcert-rotcertifikatet. Ladda ner båda certifikaten.

Följ anvisningarna och installera certifikatet i din webbläsare. Med
Firefox kan du nu hitta ditt certifikat genom att gå till "`Dina
certifikat"' i menyn under
\Menu{Redigera$\rightarrow$Inställningar$\rightarrow$Säkerhet$\rightarrow$Certifikat}.
Certifikatet har namnet (CN) \textit{CAcert WoT User}.

\textbf{Märk:} Du kan även skapa ett personaliserad certifikat som
bär ditt namn (i CN-fältet). För att kunna göra detta måste du få ditt
CAcert-konto bekräftad av en annan medlem. Det så kallade 
"`CACert-Web-of-Trust"' växer på detta sättet. Vad som måste till för
att få ditt konto bekräftad kan du läsa mer om på CAcert:s webbsidor.

Spara avslutningsvis en säkerhetskopia av ditt X.509-nyckelpar
i ett X.509-certifikat (\textit{.p12}-fil).
\textbf{OBS:} Denna \textit{.p12}-filen innehåller din
publika nyckel och den tillhörande privata nyckeln.
Akta att denna filen inte kommer i obehöriga händen.

Hur du importerar ett privat X.509-certifikat i Kleopatra kan du läsa
i kapitlet \ref{ch:ImExport}.

~\\
Fortsättning följer på nästa sidan i avsnittet
\ref{sec_finishKeyPairGeneration}. Härifrån är förklaringarna för
OpenPGP och X.509 identiska igen.


\clearpage
%% Original page 23

\section{När du har skapat ett nyckelpar}
\label{sec_finishKeyPairGeneration}

\textbf{Nu är genereringen av ditt OpenPGP respektive
X.509-nyckelpar avslutad. Du är därmed innehavar av en
unik elektronisk nyckel.}

Du skall nu vara tillbaka vid Kleopatra:s huvudfönster.
Nyckelparet du skapade hittar du i certifikathanteraren under
menyvalet \textit{Meine Zertifikate}
(härifrån används endast OpenPGP-certifikat som exempel):

%TODO screenshot: Kleopatra with new openpgp certificate
\begin{center}
\htmlattributes*{img}{width=508}
\IncludeImage[width=0.6\textwidth]{sc-kleopatra-withOpenpgpTestkey_de}
\end{center}

Dubbelklicka på ditt nya certifikat för att se alla detaljer och kolla
att de stämmer:

%TODO screenshot: details of openpgp certificate
\begin{center}
\htmlattributes*{img}{width=508}
\IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-certificateDetails_de}
\end{center}

Vad betyder de enskilda certifikatdetaljerna?

Certifikatet har obegränsad giltighetstid, dvs. att det inte har
någon "`innebygd förfallodatum"'. För att ändra giltigheten i
efterhand trycker du på \Button{Ändra förfallodatum}

\textbf{Mer information om certifikatdetaljerna hittar du i
kapitlet~\ref{ch:CertificateDetails}. Du kan läsa detta kapitlet nu
eller senare när du behöver informationen.}



\clearpage
\xname{publicera-ditt-publika-certifikat}
%% Original page 24
\chapter{Publicera ditt publika certifikat}
\label{ch:publishCertificate}

Vid dagligt användande av Gpg4win är det mycket praktiskt att göra det
mesta av kryptering och dekryptering med ditt publika certifikat (som 
endast innehåller din publika nyckel). Så länge din egna privata nyckel 
och lösenfrasen som skyddar den är säker har du gjort det viktigaste som
krävs för ditt hemlighållande.

Vem som helst kan och bör ha ditt publika certifikat, och du kan och bör
ha de publika certifikaten till dina korrespondenspartner -- jo flera, desto bättre.

Därför att:

\textbf{För att utväxla säkra e-post måste båda partner besitta och
använda varandras publika certifikat. Naturligtvis behöver mottagaren 
även ha ett program som kan hantera certifikat, som tex Gpg4win med 
certifikathanteraren Kleopatra.}

Om du vill skicka någon en krypterad e-post, måste du därför ha
mottagarens publika certifikat och använda detta till kryptering.

På samma sätt, om någon vill skicka dig en krypterad e-post, måste
avsändaren ha ditt publika certifikat och använda det till kryptering.

Därför borde du göra ditt publika certifikat offentlig tillgänglig.
Allt eftersom hur många korrespondenspartner du har och vilket 
certifikatformat du har vald finns det olika möjligheter. Du kan
exempelvis dela ditt certifikat...

\begin{itemize}
    \item ... direkt per \textbf{e-post} till bestämda
    korrespondenspartner (se avsnittet~\ref{sec_publishPerEmail}).
    \item ... på en \textbf{OpenPGP-certifikatserver};
    gäller \textit{endast} für OpenPGP (se avsnittet~\ref{sec_publishPerKeyserver}).
    \item ... på din egen hemsida.
    \item ... personlig, tex. per USB-minne.
\end{itemize}

De två första möjligheterna kan du läsa om på de följande sidorna.

%% Original page 25
\clearpage
\section{Publicera per e-post}
\label{sec_publishPerEmail}

Önskar du att dela ditt publika certifikat med din korrespondenspartner?
Skicka bara det exporterade publika certifikatet per e-post. Hur du gör
får du veta i detta avsnittet.

~\\
Du kan öva dig på denna processen med ditt publika OpenPGP-certifikat.
Adele kan hjälpa dig med det. \textbf{OBS:} Den följande
övningen gäller bara för OpenPGP! Detaljer om publicering av
publika X.509-certifikat hittar du på
sidan~\pageref{publishPerEmailx509}.
\T\margin{\IncludeImage[width=1.5cm]{openpgp-icon}}

\textbf{Adele}
är en mycket trevlig e-post-robot som du kan korrespondera ledigt
med. Eftersom man heller gärna kommunicerar med en trevlig ung
kvinna än ett stycke programvara (som är vad Adele egentligen är)
kan du föreställa dig Adele så här:

% Cartoon:  Adele mit Buch ind er Hand vor Rechner ``you have mail"'
\begin{center}
\IncludeImage{adele01}
\end{center}

Skicka så ditt publika OpenPGP-certifikat till Adele. Med
hjälp av den publika nyckeln till detta certifikatet skickar
Adele dig en krypterad e-post tillbaka.

Svaret du får från Adele dekrypterar du sen med din egen privata
nyckel. För att du skall kunna skicka ett krypterad svar tillbaka
till Adele, bifogar hon sitt publika certifikat.

På detta sättet beter sig Adele precis som en riktig korrespondenspartner.
För övrigt är dock inte Adele:s e-poster lika intressanta som de du får
från dina äkta korrespondenspartner. Å andra sidan kan du öva så mycket
du bara vill med Adele -- något en mänsklig mottagar skulle kunna ta
illa upp.

Exportera alltså ditt publika OpenPGP-certifikat och skicka detta per
e-post till Adele. Hur du gör detta får du veta på nästa sidan.


\clearpage
%% Original page 26
\subsubsection{Exportera ditt publika OpenPGP-certifikat}

Välj vilket publika certifikat du önskar att exportera i Kleopatra
Selektieren Sie in Kleopatra das zu exportierende öffentliche Zertifikat
(genom att klicka på den korresponderande raden i listan över
certifikat) och välj så
\Menu{Fil$\rightarrow$Exportera certifikat...} i menyn.
Välj en tillämplig mapp på din dator och spara det publika
certifikatet med filtyp \textit{.asc},
\textit{.gpg} eller \textit{.pgp} --
tex.: \Filename{mitt-OpenPGP-certifikat.asc}.

\textbf{OBS:} Akta när du väljer från menyn att du verkligen
exporterar ditt publika certifikat
-- och \textit{inte} certifikatet som innehåller
din privata nyckel.


%% Original page 27

Kontrollera denna filen. För att göra det använder du din Windows
Explorer och går till den samma mappen som du angav när du
exporterade certifikatet.

\textbf{Öppna} den exporterade certifikat-filen med en text-editor,
tex. med Wordpad. I text-editorn ser du hur ditt publika OpenPGP-certifikat
verkligen ser ut -- ett stycke med slumpmässiga tecken:

% screenshot: Editor mit ascii armored key
\begin{center}
\IncludeImage[width=0.6\textwidth]{sc-wordpad-editOpenpgpKey_de}
\end{center}


\clearpage
%% Original page 28

\subsubsection{Variant 1: Skicka det publika Open-PGP-certifikatet som
e-post-text}

Denna första möjligheten fungerar alltid, även om du -- som vid många
webbmejl-tjänster -- inte kan bifoga filer. När du gör detta får du
dessutom se innehållet i ditt publika certifikat för första gången och
vet så vad som döljer sig i det -- vad det egentligen består av.

\textbf{Markera} i text-editorn hela det publika 
certifikatet från

\verb+-----BEGIN PGP PUBLIC KEY BLOCK-----+\\
till\\
\verb+-----END PGP PUBLIC KEY BLOCK-----+

och \textbf{kopiera} det med tangentkombinationen Ctrl+C. Du kopierar
då certifikatet över i minnet (kallad mellanlager i Windows) på din dator.

Starta så ditt e-postprogram -- det spelar ingen roll vilket du använder --
och klistra in ditt publika certifikat i en tom e-post.
Tangentkombinationen för att klistra in är normalt Ctrl+V i Windows.
Det är en fördel att ställa in e-postprogrammet så att det skickar
rena textmeddelande och inte HTML-formatterade meddelande
(se avsnittet \ref{sec_brokenSignature} och tillägget \ref{appendix:gpgol}).

Denna processen -- kopiera och klistra in -- känner du kanske redan som
"`Copy \& Paste"'.

\textbf{Adressera} så denna e-posten till \verb-adele@gnupp.de- och
skriv in en titel, tex.: \textit{Mitt publika OpenPGP-certifikat}.

Ungefär så skall din e-post nu se ut:

%TODO screenshot:  #öffentlich ergänzen# Outlook composer fenster mit openpgp zertifikat.
\begin{center}
\IncludeImage[width=0.55\textwidth]{sc-ol-adele-sendOpenpgpKey-inline_de}
\end{center}

\T\enlargethispage{2\baselineskip}
Skicka din e-post till Adele.

För att vara säker: Naturligtvis
skall din e-post \textit{inte} ha \verb-heinrichh@gpg4win.de- eller en
annan exempeladress som avsändare, utan \textit{din egna 
e-postadress}. Annars vill du inte få något svar från Adele$\ldots$


\clearpage
%% Original page 29
\subsubsection{Variant 2: Skicka ditt publika certifikat som bifogad 
fil i en e-post}

Alternativt till variant 1 kan du naturligtvis bifoga ditt exporterade
certifikat direkt i e-posten. Detta är ofta det enklaste och mest
praktiska sättet att göra det på. Du fick förs lära 
"`Copy \& Paste"'-metoden eftersom den är mer transparent och lättare
att förstå.

Skriv så en ny e-post till Adele med certifikat-filen bifogad:

Bifoga den exporterade certifikat-filen till din nya e-post -- precis på
samma sätt som du gör det med andra filer (tex genom att dra den till
det tomma e-post-fönstret). Ange mottagaren
(\verb-adele@gnupp.de-) och en titel, tex.:
\textit{Mitt publika OpenPGP-certifikat - bifogad}.

Du kan naturligtvis även skriva ett lite meddelande i e-posten.
Adele förstår dock inte vad som står där, eftersom hon inte är
programmerad för annat än detta övningssyftet.

Din färdiga e-post skall se så här ut:

%TODO screenshot: Outlook composer fenster mit openpgp zertifikat im Anhang
\begin{center}
\IncludeImage[width=0.6\textwidth]{sc-ol-adele-sendOpenpgpKey-attachment_de}
\end{center}

Skicka så e-posten med den bifogade filen.

\clearpage
\subsubsection{Kort sammanfattad}

Du har exporterad ditt publike OpenPGP-certifikat från Kleopatra till en
fil. Därefter har du först kopierad innehållet direkt över i en e-post,
och sen bifogat filen till en annan e-post. Båda e-posten har du skickat
till din korrespondenspartner (i detta fall Adele).

Precis så gör du när du vill skicka ditt publika certifikat till en äkta
adress. Du bestämmer dig självklart för en av varianterna -- som regel
borde du skicka ditt OpenPGP-certifikat bifogat. Detta är det enklaste
för dig och mottagaren, och har fördelen att mottagaren kan importera
certifikatsfilen direkt med sin certifikatshanterare (tex. Kleopatra).

~\\Nachdem \label{publishPerEmailx509}
Nu när du har lärt hur du delar ditt publika OpenPGP-certifikat per
\T\margin{\IncludeImage[width=1.5cm]{smime-icon}}
e-post, undrar du säkert på hur du gör det samma med ett publikt
\textbf{X.509-certifikat} (se även kapitlet~\ref{ch:openpgpsmime}).

Svaret är enkelt: Du kan göra det på samma sätt som med OpenPGP. Du exporterar
ditt publika X.509-certifikat i Kleopatra, sparar det i filformatet
\textit{.pem} och skickar filen bifogat i en e-post.
Faktiskt är dock inte ens det nödvändigt. Det räcker att skicka en
signerat S/MIME-e-post till din korrespondenspartner. I signaturen 
finns nämligen ditt publika X.509-certifikat och kan importeras i 
certifikathanteraren av mottagaren.

Den enda skillnaden mellan denna och OpenPGP-processen är att du inte
kan använda Adele \textbf{Adele stöder endast OpenPGP!} 
För att öva dig borde du därför hitta en annan korrespondenspartner
eller skicka test-mejl till dig själv.

När du exporterar ditt publika X.509-certifikat kan du välja om du vill
spara hela certifikatkedjan (normalt: rotcertifikat -- CA-certifikat --
ditt certifikat) eller endast ditt eget certifikat. Det rekommenderas att
välja det första, eftersom mottagaren annars måste hitta de andra delarna
av kedjan. Med shift-tangenten kan du i Kleopatra klicka på alla komponenterna 
av kedjan, och sen exportera dessa enligt beskrivningen ovan.

Om mottagaren inte redan har rotcertifikatet måste hon få detta
bekräftad av en administratör för att även ditt certifikat skall
kunna bekräftas. Om detta redan är gjort (tex. för att ni båda
tillhör samma "`rot"', något som även gäller om ni har olika
certificerare) bekräftas ditt certifikat omedelbart genom kedjan:s
tillgänglighet.


\clearpage
%% Original page 30
\section{Publicera på en OpenPGP-certifikatserver}
\label{sec_publishPerKeyserver}

\textbf{OBS: Att publicera certifikatet på en OpenPGP-cerfifikatserver
är endast möjligt med OpenPGP-certifikat!}
\T\margin{\IncludeImage[width=1.5cm]{openpgp-icon}}

Du har alltid möjligheten att publicera ditt publika OpenPGP-cerfifikat
på en certifikatserver, även när du endast utväxlar krypterad e-post med
några få partners. Ditt publika certifikat vill då vara tillgänglig för
vem som helst via en server på Internet. Du sparar dig därmed för att
skicka certifikatet per e-post till varje korrespondenspartner.

\textsc{Märk: Att publicera din e-postadress på en certifikatserver
innebär tyvärr en risk för att även obehöriga människor kan skicka
dig e-post, och därmed för att mängden SPAM till din e-postadress kan
öka. Du bör därför använda ett tillräckligt skydd mot SPAM. Om du inte
har något spamfilter bör du överväga att inte publicera ditt publika
certifikat på en certifikatserver.}

~\\
\textbf{Så här gör man:} Välj ditt publika OpenPGP-certifikat i
Kleopatra och klicka på 
\Menu{Fil$\rightarrow$Exportera certifikat till server...}
i menyn.

Om du inte redan har definierat en certifikatserver
får du ett varningsmeddelande:

% TODO screenshot: Kleopatra keyserver export warning
\begin{center}
\IncludeImage[width=0.45\textwidth]{sc-kleopatra-exportCertificateToServer_de}
\end{center}

Som du kan läsa i meddelandet är den publika
OpenPGP-certifikatserveren \texttt{keys.gnupg.net} 
satt som standard.
Tryck på \Button{Fortsätt}, för att skicka ditt valde publika certifikat 
till denna serveren. Därifrån blir ditt publika certifikat gjort 
tillgänglig för anslutade certifikatservers över hela värden. Vem som
helst kan ladda ner ditt publika certifikat från en av dessa 
OpenPGP-certifikatservers och använda det för att skicka dig säker e-post.

Om du bara vill prova metoden bör du inte skicka i väg övningscertifikatet.
Klicka då heller på \Button{Avbryt}
Det har inget värde och kan inte tas bort från certifikatservern. Faktiskt finns
det redan allt för många test-nycklar med namn som "`Julius Caesar"', 
"`Helmut Kohl"' och "`Bill Clinton"'$\ldots$

\clearpage
\subsubsection{Kort sammanfattad}
Du vet nu hur man publicerar sitt publika OpenPGP-certifikat på en
OpenPGP-certifikatserver.

\textbf{Hur du hittar din korrespondenspartners publika 
  OpenPGP-certifikat på en certifikatserver och importerar 
  det kan du läsa om i kapitlet~\ref{ch:keyserver}.
  Du kan läsa detta kapitlet nu, eller senare när du behöver
  denna funktionen.}

~\\Tillgängligheten av publika X.509-certifikat beror på
\T\margin{\IncludeImage[width=1.5cm]{smime-icon}}
certificeraren. De sprids normalt över X.509-certifikatservers
som är tillgänglig per LDAP.
Till skillnad från OpenPGP-certifikatservers synkroniseras inte
X.509-certifikatserver över hela värden med varandra.



\clearpage
%% Original page 31
\xname{dekryptera-epost}
\chapter{Dekryptera e-post}
\label{ch:decrypt}

Har du mottagit ett krypterad meddelande från din
korrespondenspartner och vill dekryptera det?
Allt du behöver är Gpg4win, certifikatet för ditt
nyckelpar och naturligtvis din lösenfras.

I detta kapitlet berättar vi steg för steg hur du dekrypterar
din e-post i Microsoft Outlook med Gpg4win-programmet GpgOL.

~\\
Öva gärna denna processen en gång med Adele och ditt
publika OpenPGP-certifikat\\
\textit{OBS: Den följande övningen gäller endast OpenPGP!
Anmärkningar för dekryptering av S/MIME-e-post hittar du till slut
i detta kapitlet på sidan \pageref{encrypt-smime}.}
\T\margin{\IncludeImage[width=1.5cm]{openpgp-icon}}\\

I avsnittet~\ref{sec_publishPerEmail} skickade du ditt
publika OpenPGP-certifikat till Adele.
Med hjälp av detta certifikatet krypterade Adele en
e-post och gav dig ett meddelande tillbaka.
Efter kort tid skall du ha mottagit svaret från Adele.


% cartoon: Adele typing and sending a mail
\begin{center}
\IncludeImage{adele02}
\end{center}


\clearpage
%% Orginal page 32
\subsubsection{Dekryptera ett meddelande med MS Outlook och GpgOL}

För de flesta e-postprogram finns det speciella programförlängningar,
så kallade "`plugins"', som kan göra själva (de-)krypteringen direkt
i programmet för dig. \textbf{GpgOL} är en sådan plugin för MS Outlook,
som blir använt i detta avsnittet för att kryptera en e-post till Adele.

Detaljer för andra programvarulösningar hittar du i tillägget~\ref{ch:plugins}.
Du kan läsa detta avsnittet nu, eller senare när du behöver denna funktionen.

~\\
Starta MS Outlook och öppna svaret du fick från Adele.

Du har hittills lärd känna Kleopatra som certifikathanterare.
Programmet bjuder dock på mer: Det kan styra den egentliga krypteringsprogramvaran
GnuPG och därmed inte bara hantera dina certifikat, utan även utföra samtliga
kryptografiska uppgifter (dock med hjälp av GnuPG).
Kleopatra sörjer för det grafiska användargränssnittet, alltså dialogen som användaren
ser när hon (de-)krypterar e-post. Det innebär dessutom att du vill få se samma
dialogen oberoende om du använder Outlook, ett annat e-postprogram eller Windows
Explorer för att (de-)kryptera.

Kleopatra bearbetar alltså den krypterade e-posten du fick från Adele. Denna
e-posten har Adele krypterad med \textit{din} publika OpenPGP-nyckel.

För att kunna dekryptera meddelandet frågar Kleopatra dig så efter din
lösenfras. Ange denna i dialogfönstret som dyker upp. Om du anger den
korrekt vill du få en statusdialog (se följande bild).
Med 
%TODO-Kleo: Buttonname ändern/prüfen
\Button{Visa detaljer} kan du välja att
se mer information om e-post-verifikationen.

%TODO screenshot: Kleopatra - successfully encrypt/verify dialog
\begin{center}
\IncludeImage[width=0.45\textwidth]{sc-kleopatra-encryptVerify_de}
\end{center}

Dekrypteringen var vällyckad! Stänga så dialogboxen för att läsa
den krypterade e-posten.

Om du önskar att öppna verifieringsdialogen manuellt efter att du har 
läst e-posten kan du göra detta vid att välja
\Menu{Extra$\rightarrow$GpgOL Dekryptera/verifiera}.
i menyn.

%Ungefär så här vill e-posten från Adele se ut innan den är dekrypterad:
%
%\begin{verbatim}
%From: Adele (Der freundliche E-Mail-Roboter) <adele@gnupp.de>
%Subject: Re: Mitt OpenPGP-Zertifikat
%To: heinrichh@gpg4win.de
%Date: Thu, 08 Jul 2008 09:17:28 +0100
%
%-----BEGIN PGP MESSAGE-----
%Version: GnuPG v1.4.1 (GNU/Linux)
%
%hQEOA9FS8I3hSvdPEAP/W6W6f4MBwqTdzd9O/7FOTDHh//bQ+GUWoT0k9Y0i96UZ
%QO1VhQSia6a8DZrFQj7SlJWmB1MM7RNhkmhfZsD5Bn9ICmwwOt2xJDBkCQ34gu5N
%NxQ92WXZjHCaI0dSlynNziNbK8Ik26YPBYkQjLUDhHN4CRZ7q67eVEd/B9DI04wD
%
%...
%
%ujbjyj09L/9NvoBniWrgqVUayKr1Ls8OIZkyiex6mKypPGADJFAzvTwjubj5S6zJ
%A+QvSXUB9Hj8Ft2Nt3j0B/gWn5no3Er2/15UcBn/UPSxW9or0w9seDxCuSXvpakX
%bcneOm/pcJNEHcApXWXpoNOxRZ1MksM300w+79M6p2w=
%=VCHb
%-----END PGP MESSAGE-----
%\end{verbatim}

%\textit{(För att göra det mer översiktlig är krypteringsstycket
%förkortad.)}


%\textbf{Denna e-posten skall du nu dekryptera med Microsoft Outlook.}




\clearpage
%% Original page 36
\subsubsection{Den dekrypterade e-posten}

Det dekrypterade svaret från Adele ser ungefär så här ut\footnote{Beroende
  på versionen av Adele-programmet kan det vara
  skillnader i utseendet.}:
%TODO: lieber ein OL-Screenshot der mail.
%TODO: Schlüssel -> Zertifikat

\begin{verbatim}
Hallo Heinrich Heine,

hier ist die verschlüsselte Antwort auf Ihre E-Mail.

Ihr öffentlicher Schlüssel mit der Schlüssel-ID
BCFA2133DDC8CA90 und der Bezeichnung
`Heinrich Heine <heinrichh@duesseldorf.de>'
wurde von mir empfangen.

Anbei der öffentliche Schlüssel von adele@gnupp.de,
dem freundlichen E-Mail-Roboter.

Viele Grüße,
adele@gnupp.de
\end{verbatim}

Textstycket som följer efter detta är Adele:s publika certifikat.

I nästa kapitel skall du importera detta certifikatet och lägga det
in i din certifikathanterare. Du kan när som helst använda importerade
publika certifikat för att dekryptera meddelande från dina
korrespondenspartners och verifiera deras signerade e-post.

\clearpage
\subsubsection{Kort sammanfattad}

\begin{enumerate}
\item Du har dekrypterad en e-post med din
  privata nyckel.

\item Din korrespondenspartner har bifogat sitt eget certifikat
    så att du kan skicka ett krypterad svar tillbaka.
\end{enumerate}

\label{encrypt-smime}
~\\Sen
har du lärt hur du dekrypterar e-post med din privata OpenPGP-nyckel
\T\margin{\IncludeImage[width=1.5cm]{smime-icon}}
och nu skal du få lära hur man dekrypterar e-post som är krypterad
med \textbf{S/MIME}.

Svaret är även här ganska enkelt: Precis som med OpenPGP!
Skillnaden från OpenPGP är dock att S/MIME \textit{inte}
stöds av Adele, och att övningen därmed bara gäller för
OpenPGP.

För att dekryptera en e-post som är krypterad med S/MIME öppnar du
meddelandet i Outlook och anger din lösenfras i dialogboxen.
Du får upp en liknande statusdialog som du fick med OpenPGP. Efter att du
har stängt denna dialogen får du se den S/MIME-krypterade e-posten.

\clearpage
%% Original page 37
\xname{importera-ett-certifikat}
\chapter{Importera ett publikt certifikat}
\label{ch:importCertificate}

Din korrespondensparter måste inte bifoga sitt publika certifikat varje gång
hon skickar dig signerade e-post.
Du uppbevarar hennes publika certifikat enkelt i din
certifikathanterare (tex. Kleopatra).


\subsubsection{Spara publika certifikat}

Innan du importerar ett publikt certifikat i Kleopatra måste du
spara det i en fil. Beroende på om du har mottagit certifikatet
som en bifogat fil eller som ett textstycke i en e-post gör du
en av följande:

\begin{itemize}
\item Om certifikatet är bifogat som en egen fil sparar du
    denna filen på din harddisk.

\item Om certifikatet ligger som ett textstycke i e-posten markerar
    du först hela textstycket:

Med ett OpenPGP-certifikat markerar du området från

\verb+-----BEGIN PGP PUBLIC KEY BLOCK-----+\\
till\\
\verb+-----END PGP PUBLIC KEY BLOCK-----+

på samma sätt som du gjorde i avsnittet~\ref{sec_publishPerEmail}.

Klistra in det markerade avsnittet i en texteditor och spara
dokumentet i en fil. Som filefternamn väljer du 
\textit{.asc} eller \textit{.gpg} för OpenPGP och
\textit{.pem} eller \textit{.der} för X.509-certifikat.

\end{itemize}

%% Original page 38/39
\clearpage
\subsubsection{Importera ett publikt certifikat i Kleopatra}

Oberoende av om du sparade en bifogat fil eller en fil du själv 
klistrade in i texteditorn är det nu bara att importera filen i
certifikathanteraren Kleopatra.

Starta därmed Kleopatra, därsom det inte redan kör.

I menyn väljer du
\Menu{Fil$\rightarrow$Importera certifikat...},
hittar filen du just sparade och importerar den.
Du vill få en informationsdialog med resultatet av importeringprocessen:

% screenshot: Kleopatra - certificate import dialog
\begin{center}
\IncludeImage[width=0.45\textwidth]{sc-kleopatra-import-certificate_de}
\end{center}

Det importerade certifikatet blir nu visad i Kleopatra,
dock i ett separat fönster; "`Importerade
certifikat från \textit{<väg-till-certifikatfil>}"':

% screenshot Kleopatra with new certificate
\begin{center}
\IncludeImage[width=0.6\textwidth]{sc-kleopatra-withAdeleKey_de}
\end{center}

Detta fönstret tjänar som kontroll, eftersom en fil kan innehålla mer än
bara ett certifikat. Stänga fönstret, antigen från
menyn \Menu{Fönster$\rightarrow$Stänga} eller vid att
trycka på "`stänga"'-knappen till höger.

Gå till fliken "`Andra certifikat"'. Här skall du nu kunna
se certifikaten du har importerad.

Därmed har du importerad ett certifikat -- i detta exemplet det
publika OpenPGP-certifikatet från Adele -- i certifikathanteraren.
Du kan när som helst använda detta certifikatet för att skicka
krypterade e-post till ägaren och verifiera dennas signatur.

När du börjar använda e-post-kryptering oftare och med flera
korrespondenspartner vill du får behov för att söka fram och importera
certifikat från globalt tillgängliga certifikatserver. Hur du gör detta
kan du läsa om i kapitlet~\ref{ch:keyserver}.


\clearpage
\subsubsection{En viktig fråga innan du fortsätter:}
Hur vet du egentligen att det publika OpenPGP-certifikatet verkligen
härstammar från Adele? Man kan skicka e-post även under falskt namn --
vad som står i avsändarefältet säger egentligen inget.

Hur kan du alltså försäkra dig om att ett publikt certifikat verkligen
tillhör avsändaren?

\textbf{Kärnfrågan i certifikatverifieringen blir besvarad i
kapitlet~\ref{ch:trust}. Läs gärna vidare där innan du
fortsätter på detta stället.}



\clearpage
%% Original page 42
\xname{kryptera-epost}
\chapter{Kryptera epost}
\label{ch:encrypt}

Nu blir det äntligen spannande: Du skall skicka ett krypterad e-brev!

I denna exemplen behöver du en epost-klient som stöder kryptering, Kleopatra
och naturligtvis det publika certifikatet till mottagaren.

%% Original page 45
\textbf{Gäller endast OpenPGP:}\\Du kan öva denna processen
för OpenPGP med Adele. S/MIME stöds inte av Adele! 
\T\margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
Adressera en krypterad e-post till
\verb-adele@gnupp.de-. Innehållet i meddelandet spelar ingen
roll -- Adele kan verkligen inte läsa...


\textbf{Gäller endast S/MIME:}\\
Efter installation av Gpg4win är S/MIME-funktionalitäten
\T\margin{\IncludeImage[width=1.5cm]{smime-icon}}
i GpgOL deaktiverad. Om du vill använda S/MIME (med
GnuPG), måste du först gå in i valdialogen i GpgOL under
\Menu{Extra$\rightarrow$Val$\rightarrow$GpgOL} och välja
\textit{Aktivera S/MIME-stöd}:

% TODO screenshot: GpgOL options
\begin{center}
\IncludeImage[width=0.45\textwidth]{sc-gpgol-options_de}
\end{center}

Läs den tillgängliga informationen noggrant, speciellt om du 
redan har använt S/MIME i ett annat krypto-produkt.

\clearpage
\subsubsection{Skicka ett krypterat meddelande}

Skriv så ett meddelande i Outlook och adressera det till
mottagaren.

Nu kvarstår bara att bekräfta att du verkligen vill skicka
meddelandet krypterad:
I meddelandefönstret väljer du från menun
\Menu{Extra$\rightarrow$Kryptera meddelande}.
Lås-ikonet i knappraden blir så aktiverad (du kan även trycka
direkt på detta ikonet).

Ditt meddelandefönster skall nu se ungefär så här ut:

% TODO screenshot: OL composer with Adele's address and body text
\begin{center}
\IncludeImage[width=0.7\textwidth]{sc-ol-sendEncryptedMail_de}
\end{center}
För att deaktivera krypteringsvalet igen behövs nog ett klick
på ikonet.

Tryck så på \Button{Senden}.

~\\
\textbf{Tips:}\\
\label{encryptProtocol}
Normalt förstår Gpg4win automatiskt vilken protokoll
(OpenPGP eller S/MIME) som passar din korrespondenspartners
publika certifikat.

Du kan även specificera protokollen själv för denna e-posten
genom att gå till
\Menu{Extra$\rightarrow$GnuPG-protokoll}
i menyn på det öppna meddelandefönstret och välja
\textit{PGP/MIME}, \textit{S/MIME} eller \textit{automatiskt}
(standardinställning).

Om du är osäker låter du bara inställningen stå kvar på
\textit{automatiskt}. Du har möjligheten att välja mellan
PGP/MIME och S/MIME senare i krypteringsprocessen.

Föredrar du en GnuPG-protokoll?\\
Då kan du gå till GpgOL-valen under
(\Menu{Extra$\rightarrow$Val$\rightarrow$GpgOL})
och välja PGP/MIME eller S/MIME som standard för alla
signerade och krypterade meddelande.


\clearpage
\subsubsection{Certifikatval}
För detta öppnar Kleopatra ett fönster var du måste bekräfta det publika
certifikatet till mottagaren. Kleopatra väljer -- beroende av
mottagaren:s e-postadress -- som regel automatiskt det certifikatet
som passar best.

Om Kleopatra inte hittar det publika certifikatet till din
korrespondenspartner är det troligen inte importerad i
certifikathanteraren (se kapitlet~\ref{ch:importCertificate}).

% TODO screenshot: kleopatra encryption dialog - certificate selection
% (with Adele + my own certificate)
\begin{center}
\IncludeImage[width=0.7\textwidth]{sc-kleopatra-openpgp-encryptDialog_de}
\end{center}

Normalt bekräftar du bara det valde certifikatet med
\Button{Vidare}.

\clearpage
Om Kleopatra \textbf{inte} hittade det riktiga publika certifikatet i
förra dialogen (tex. för att det finns flera certifikat för mottagar-adressen)
trycker du på \Button{...}-knappen ved sidan av urvalslistan.

Du kan här även välja ett annat publikt certifikat (som inte passar 
e-postadressen). Det ger dock ingen mening och kan skapa problem för dig
och mottagaren...

Du vill så få en Kleopatra-dialog med en lista över alla publika
certifikat av den valda certifikattypen som existerar i din
certifikathanterare (alltså publika certifikat du har importerad).
Som exempel kan du här se ett urval av tillgängliga publika
OpenPGP-certifikat:

% TODO screenshot: kleopatra encryption dialog 2 - openpgp certificate list
\begin{center}
\IncludeImage[width=0.7\textwidth]{sc-kleopatra-encryption-chooseOpenpgpCertificate_de}
\end{center}

Du måste nu välja det korrekta publika certifikatet för din korrespondenspartner,
eftersom det är med detta att meddelandet skall krypteras.

Kom i håg grundlagen:
\begin{quote}
    \textbf{Om du vill skicka någon en krypterad e-post,
  måste du ha dennas publika certifikat och använda det till krypteringen.}
\end{quote}

Tryck på \Button{Nästa}. Ditt meddelande blir nu krypterad.

\clearpage
\subsubsection{Avsluta krypteringen}
Om ditt meddelande blev krypterad och skickad vill du få en bekräftelse
på detta:

% TODO screenshot: kleopatra encryption successfully
\begin{center}
\IncludeImage[width=0.7\textwidth]{sc-kleopatra-encryption-successful_de}
\end{center}

\textbf{Grattis! Du har nu krypterat din första e-post!}




%% Original page 37 & 40
\xname{signera-epost}
\chapter{Signera epost}
\label{ch:sign}

I kapitlet~\ref{ch:trust} kunde du läsa hur du bekräftar
autentisitäten av ett publikt OpenPGP-certifikat och signera detta med din egen
hemliga OpenPGP-nyckel.

Detta kapitlet berättar hur du \textbf{signerar en e-post}. Det innebär att du 
anger en elektronisk signatur (ett slags elektronisk segel) till e-posten.

Texten vill då vara läsbar för alla, men mottagaren har möjlighet
att fastställa om e-posten har blivit manipulerad eller ändrat undervägs.

Signaturen är en garanti för mottagaren att meddelandet faktiskt
härstammar från dig. Och: om du skickar ett meddelande till någon
som du saknar certifikat för kan du åtminstone "`försegla"'
meddelandet med din egen privata nyckel.

\textbf{OBS:} Förväxla inte denna elektroniska signaturen med
e-post-"`signaturen"' som man ofta sätter in i sina e-post och 
tex. innehåller telefonnummer, adress o.d.
Medan denna e-post-signaturen endast fungerar som ett slags
visitkort, skyddar den elektroniska signaturen din e-post mot
manipulation och bekräftar avsändaren.

% cartoon:  Müller mit Schlüssel
\begin{center}
\htmlattributes*{img}{width=300}
\IncludeImage[width=0.4\textwidth]{man-with-signed-key}
\end{center}



\clearpage
%% Original page 38
\section{Signera med GpgOL}

Att signera epost är faktiskt enklare än att kryptera den (se 
kapitlet~\ref{ch:encrypt}). När du har skrivit ett e-brev, gäller
-- på samma sätt som vid kryptering -- följande steg:

\begin{itemize}
        %TODO: automodus nutzen, aber nicht beschreiben! So einfach
        %wie möglich! Nicht das Verfahren beschreiben!
    \item Skicka signerat meddelande
    \item Välja certifikat
    \item Avsluta signeringen
\end{itemize}

På nästa sidan blir dessa stegen beskrivna i detalj.

\clearpage
\subsubsection{Skicka ett signerad meddelande}

Författa så en ny e-post i Outlook och adressera den till
din korrespondenspartner.

%TODO: Kleo-Protokoll-Auswahl-Dialog beschreiben (sofern Kleo das
%nicht mehr ändert)!

Innan du skickar i väg meddelandet, ange att den skal skickas signerat:
För att göra det, välj
\Menu{Extra$\rightarrow$Signera meddelande} i menyn. 
Signatur-ikonet blir aktiverad.


Ditt e-post-fönster skall slutligen se ungefär så här ut:
% TODO screenshot: OL composer with Adele's address and body text
\begin{center}
\IncludeImage[width=0.7\textwidth]{sc-ol-sendSignedMail_de}
\end{center}

Precis som vid kryptering kan du naturligtvis bara klicka på
ikonet för att deaktivera signeringen.

Tryck så på \Button{Skicka}.

~\\
\textbf{Tips:}\\
Precis som vid kryptering av e-post förstår Gpg4win automatiskt
vilken protokoll (OpenPGP eller S/MIME) ditt certifikat använder.

Om du vill bestämma protokollet manuellt kan du gå till
\Menu{Extra$\rightarrow$GnuPG protokoll} i menyn på fönstret
och välja \textit{PGP/MIME}, \textit{S/MIME} eller \textit{automatiskt}.
Kommentaren och tipsen om kryptering (se sidan~\pageref{encryptProtocol}) 
gäller även för signeringen.


\clearpage
\subsubsection{Val av certifikat}
Kleopatra öppnar så ett fönster var du kan se dina \textbf{egna}
certifikat (alltså alla de certifikat som innehåller en privat nyckel
du själv har skapat).


% TODO screenshot: kleopatra sign dialog - certificate selection
\begin{center}
\IncludeImage[width=0.7\textwidth]{sc-kleopatra-openpgp-signDialog_de}
\end{center}

Denn:
\begin{quote}
    \textbf{Du kan endast signera med din egna privata nyckel.}
\end{quote}
Detta är rätt logiskt, eftersom det bara är din privata nyckel
som kan bekräfta din identitet. Med ditt publika certifikat kan
en korrespondenspartner verifiera din identitet.

Normalt bekräftar du bara denna dialogen med \Button{Vidare} för
att använda det redan valda certifikatet.

Vid första genomgång av signeringsprocessen måste du i Kleopatra
välja vilket certifikat som skal användas för att signera med.
Om ett certifikat inte finns i urvalet -- tex. för att du har
flera certifikat -- trycker du på \Button{Ändra signaturcertifikat...}.


\clearpage
Önskar du att ändra ditt signaturcertifikat?

Du vill då kunna få upp en urvalsdialog med en lista över
alla dina egna certifikat som passar den valde protokollen
ifrån certifikathanteraren.

Här följer en exempeldialog för OpenPGP:
% TODO screenshot: kleopatra sign dialog 2 - choose certificate
\begin{center}
\IncludeImage[width=0.7\textwidth]{sc-kleopatra-sign-chooseOpenpgpCertificate_de}
\end{center}

Välj det certifikatet du vill använda för att signera meddelandet.

Tryck så på \Button{OK}. Certifikatet du valde blir aktiverad för
den sista "`Signera e-post"'-dialogen.

Bekräfta certifikatet med \Button{Vidare}.


\clearpage
\subsubsection{Avsluta signering}
För att avsluta signeringen av din e-post blir du bett om att
ange din lösenfras in följande fönster:

% TODO screenshot: kleopatra sign dialog 2 - choose certificate
\begin{center}
\IncludeImage[width=0.45\textwidth]{sc-kleopatra-sign-OpenpgpPinentry_de}
\end{center}

Detta är nödvändig därför att du signerar med din privata
nyckel. Bekräfta lösenfrasen med \Button{OK}.

Ditt meddelande blir nu signerat och skickat i väg.
Etter en vällyckad signering av meddelande vill du
se följande dialog:

% TODO screenshot: kleopatra sign successful
\begin{center}
\IncludeImage[width=0.7\textwidth]{sc-kleopatra-sign-successful_de}
\end{center}

\textbf{Grattis! Du har signerat din första e-post!}


\clearpage
\subsubsection{Kort sammanfattad}
Du har lärt hur du \textbf{signerar} en e-post med ditt eget certifikat
(som innehåller din privata nyckel).

Från förra kapitlet vet du även hur du krypterar en e-post
med din korrespondenspartner:s publika certifikat.

Därmed behärskar du nu de två viktigaste tekniken för säker
utväxlande av e-post: kryptering och signering.

Naturligtvis kan du också kombinera tekniken. Du kan bestämma för
varje e-post hur du vill skicka meddelandet -- beroende på hur
viktigt och skyddsvärd innehållet i e-posten är:

\begin{itemize}
    \item okrypterad
    \item krypterad
    \item signerat
    \item signerat och krypteerad \textit{(Mer om detta i
        avsnittet~\ref{sec_encsig}, S.~\pageref{sec_encsig})}
\end{itemize}

Dessa fyra kombinationerna kan du göra med antigen OpenPGP eller
med S/MIME.


\clearpage
\section{Verifiera signatur med GpgOL}
%% Original page 41
Har du mottagit en signerad e-post från din
korrespondenspartner?

Att verifiera denna elektroniska signaturen är mycket enkelt.
Allt du behöver för att göra det är det publika OpenPGP- eller
X.509-certifikatet till din korrespondenspartner.
Du bör ha importerad detta certifikatet i certifikathanteraren
innan verifikationen (se kapitlet~\ref{ch:importCertificate}).

För att verifiera en signerad OpenPGP- eller S/MIME-e-post,
gör du precis samma sak som när du dekrypterade e-post
(se kapitlet~\ref{ch:decrypt}):

Starta Outlook och öppna en signerad e-post.

GpgOL get automatiskt e-posten till Kleopatra för verifikation
av signaturen. Kleopatra rapporterar med en statusdialog, tex.:

%TODO screenshot: Kleopatra - successfully encrypt/verify dialog
\begin{center}
\IncludeImage[width=0.45\textwidth]{sc-kleopatra-encryptVerify_de}
\end{center}

Verifikationen var vällyckad! Stäng så dialogen för att läsa den
signerade e-posten.

Om du önskar att verifiera igen manuellt väljer du
\Menu{Extra$\rightarrow$Dekryptera GpgOL /Verifiera} i menyn.

Som verifikationen misslyckades,
% TODO: ggf. Screenshot mit neg. Meldung.
blev meddelandet ändrad undervägs.
Eftersom Internet har vissa tekniska begränsningar
kan man inte utesluta att e-posten blev ändrad genom en fel
vid överföringen. Detta är det mest sannolika. Det kan dock
också vara att texten blev ändrad efter avsändaren skickade
den i väg.

Hur du gör i slika fallen kan du läsa i avsnittet
~\ref{sec_brokenSignature}.


\clearpage
\subsubsection{För övrig...}
Om du inte har Gpg4win installerad och öppnar en signerad e-post
kan du naturligtvis inte verifiera signaturen.
Du vill då se texten i e-posten omgett av konstiga tecken -- det
är signaturen.

Med ett OpenPGP-exempel kan du se hur en OpenPGP-signerad e-post
kan se ut i ditt e-postprogram:

E-posten byrjar med:
\T\margin{\IncludeImage[width=1.5cm]{openpgp-icon}}

\begin{verbatim}
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
\end{verbatim} 

och ändar med:

\begin{verbatim}
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (MingW32)

iEYEARECAAYFAjxeqy0ACgkQcwePex+3Ivs79wCfW8u
ytRsEXgzCrfPnjGrDDtb7QZIAn17B8l8gFQ3WIUUDCMfA5cQajHcm
=O6lY
-----END PGP SIGNATURE-----
\end{verbatim}

\textit{Detta är ett exempel -- Variationer kan förekomma.}


\clearpage
%% Original page 40
\section{Anledninger för en brutit signatur}
\label{sec_brokenSignature}


Det finns flera anledningar till att en signatur kan ha blivit brutit:

Om du har fått en e-post med markeringen "`Bad signature"'
eller "`Verifikation misslyckades"' är detta ett varningsignal
om att e-posten kan ha blivit manipulerad! Det innebär att någon
kan ha ändrat innehållet i e-posten.

En brutit signatur måste dock inte innebära att e-posten
har blivit manipulerad.
På grund av tekniska faktorer kan man inte utesluta att
den har blivit ändrat genom en felaktig överföring.


\textbf{Vikgit: Ta en brutit signatur på allvår! Du bör i alla fall
be avsändaren om att skicka e-posten på ny!}

Märk: \\
Det rekommenderas att du ställer in ditt e-postprogram så
att e-post endast skickas i "`Text"'-format och
\textbf{nicht} i "`HTML"'-format.
Om du skickar en signerat eller krypterad e-post i HTML-format kan
mottagaren förlora formateringsinformation.

I Outlook 2003 och 2007 kan du specificera detta i menyn för meddelandeformat under
\Menu{Extra$\rightarrow$Val$\rightarrow$E-post-format}.



\clearpage
%% Original page 42
\section{Kryptera och signera}
\label{sec_encsig}

Normalt krypterar du ett meddelande med din korrespondenspartner:s 
publika certifikat, och denna dekrypterar sen meddelandet med sin
egen privata nyckel.

Att göra det tvärtom -- kryptera med den privata nyckeln -- ger ingen
mening, eftersom hela värden har tillgång till det tillhörande publika
certifikatet och därmed kan dekryptera e-posten.

Det finns dock en annan anledning till att använda din privata nyckel
på ett meddelande: Signaturen (som du redan har läst om i början av
detta kapitlet).
En sådan elektronisk signatur bekräftar ursprunget av meddelandet; om
någon använder ditt publika certifikat och verifierar e-posten
kan den endast vara signerat med din privata nyckel. Och den är det
bara du som har tillgång till.

Du kan kombinera båda möjligheterna, alltså båda
kryptera och signera e-posten:

\begin{enumerate}
    \item Du \textbf{signerar} meddelandet med din egen privata
  nyckel. Därmed kan det bekräftas att den härstammar från dig.
\item Så \textbf{krypterar} du texten med din korrespondenspartner:s
  publika certifikat.
\end{enumerate}

Därmed har meddelandet två säkerhetsegenskaper:

\begin{enumerate}
\item Seglet på meddelandet (signaturen
  från din privata nyckel).
\item Ett solid kuvert (krypteringen med det
  publika certifikatet från din korrespondenspartner).
\end{enumerate}

Din korrespondenspartner öppnar det säkra kuvertet med sin egen privata
nyckel. Hemlighållandet är säkrat genom att endast denna nyckeln kan
dekryptera texten. Seglet läsas med ditt publika certifikat och är bevis
för att meddelande kommer från dig, eftersom endast din privata nyckel
kan ha skapat denna signaturen.

En sofistikerad lösning, och dessutom mycket enkelt.



\clearpage
%% Original page 47
\xname{hur-du-arkiverar-din-epost-krypterad}
\chapter{Hur du arkiverar din e-post krypterad \htmlonly{\html{br}\html{br}}}
\label{ch:archive}

Det finns ännu en sak du måste lära innan du kan använda Gpg4win på 
ett meningsfullt sätt: Det handlar om de e-poster du skickar krypterade.

Hur kan du arkivera dessa meddelanden på ett säkert sätt?
Naturligtvis kan du enkelt uppbevara dem i en klårtextversion,
men det är egentligen inte idealiskt. Om meddelanden är viktiga
att hemlighålla borde du inte ha dom sparad i klårtext på din dator.
Alla e-post du skickar i väg krypterad bör alltså även uppbevaras
\textit{krypterad}!

Du ser problemet: För att dekryptera din arkiverade, skickade e-post
behöver du mottagaren:s privata nyckel -- den har du dock inte och vill
aldrig få tak på$\ldots$

Så vad gör man?

Ganska enkelt: \textbf{Du krypterar den även för dig
själv!}

Meddelande blir krypterad en gång för din korrespondenspartner (tex. Adele)
och en gång för dig själv, med hjälp av ditt eget publika certifikat. På
detta sättet kan du enkelt göra din krypterade e-post läsbar på en senare
tidpunkt med din egen privata nyckel.

Eftersom Gpg4win inte kan veta vilken nyckel du använder (du kan tex.
ha flera nycklar installerade) måste du informera programmet om detta.

Hur? -- Det får du veta på nästa sidan.

\clearpage
%% Original page 48
För att aktivera detta räcker det med några få musklick:

Öppna GnuPG-dialogen i Kleopatra från menyn under 
\Menu{Extra$\rightarrow$Konfigurera GnuPG-Backend...}.

Välj \textit{GPG for OpenPGP} respektive
\textit{GPG for S/MIME} och ange det kompletta fingeravtrycket
för ditt certifikat i textfältet var det står
\textbf{\Menu{Även kryptera för NAMN}}, tex.:


% TODO screenshot: Kleopatra GnuPG Backend - Gpg for OpenPGP with fingerprint
\begin{center}
\IncludeImage[width=0.7\textwidth]{sc-kleopatra-backend-openpgpWithFingerprint_de}
\end{center}

%In dem Einstellungsfenster, das sich nun öffnet, tragen Sie unter
%"`Encrypt to this key"' Ihren Schlüssel ein bzw. die
%dazugehörige \Email{}-Adresse.

Fingeravtrycket hittar du i detaljerna för ditt certifikat.

Ett motsvarande val hittar du även i andra e-postprogram 
som stöder GnuPG direkt.



\clearpage
%% Original page 49
\subsubsection{Kort sammanfattad}

\begin{enumerate}
\item Du har krypterad en e-post med din korrespondenspartner:s publika certifikat
  och därmed svarat henne.
\item Kleopatra krypterar din skickade, krypterade e-post även med ditt eget publika 
  certifikat, så att meddelanden förblir läsbara också för dig.
\end{enumerate}

\vspace{1cm}
\textbf{Det var det! Nu är första delen av detta kompendiet slut,
och du har fått en god grundläggande förståelse av Gpg4win.}

\textbf{Välkommen till en värld med fri och säker e-postkryptering!}

För en ännu bättre förståelse av hur Gpg4win verkligen fungerar rekommenderas
att du fortsätter med andra delen som är för vidarekomna. Du vill få se hur
du kan upptäcka många spännande saker där!

Precis som kryptografisystemet Gpg4win blev detta kompendiet inte 
skrivit för matematiker, säkerhetsexperter och kryptografer, utan 
för \textbf{vem som helst.}







%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
% Part II

% page break in toc
\addtocontents{toc}{\protect\newpage}

\clearpage
\xname{2-fortgeschrittene}
\T\part{Für Fortgeschrittene}
\W\part*{\textbf{II Für Fortgeschrittene}}
\label{part:Fortgeschrittene}
\addtocontents{toc}{\protect\vspace{0.3cm}}


\clearpage
%% Original page 9
\xname{wie-funktioniert-gpg4win}
\chapter{Wie funktioniert Gpg4win?}
\label{ch:FunctionOfGpg4win}

Das Besondere an Gpg4win und der zugrundeliegenden "`Public-Key"' Methode
ist, dass sie jeder verstehen kann und soll. Nichts daran ist
Geheimwissen ­-- es ist nicht einmal besonders schwer zu verstehen.

Die Benutzung der Gpg4win-Programmkomponenten ist sehr einfach, seine Wirkungsweise
dagegen ziemlich kompliziert. Sie werden in diesem Kapitel erklärt bekommen,
wie Gpg4win funktioniert ­-- nicht in allen Details, aber so, dass die Prinzipien
dahinter deutlicher werden. Wenn Sie diese Prinzipien kennen, werden
Sie ein hohes Vertrauen in die Sicherheit von Gpg4win gewinnen.

Ganz am Ende dieses Buches, in Kapitel \ref{ch:themath}, können Sie
­-- wenn Sie wollen ­-- auch noch die letzten Geheimnisse um die
"`Public-Key"' Kryptographie lüften und entdecken, warum mit Gpg4win
verschlüsselte Nachrichten nach heutigem Stand der Technik nicht zu
knacken sind.


\clearpage
%% Original page 10
\subsubsection{Der Herr der Schlüsselringe}

Wenn man etwas sehr Wertvolles sichern will, schließt man es am besten
ein -- mit einem Schlüssel. Noch besser mit einem Schlüssel, den es
nur einmal gibt und den man ganz sicher aufbewahrt.

\begin{center}
\htmlattributes*{img}{width=300}
\IncludeImage[width=0.4\textwidth]{schlapphut-with-key}
\end{center}

Denn wenn dieser Schlüssel in die falschen Hände fällt, ist es um die
Sicherheit des wertvollen Gutes geschehen. Dessen Sicherheit steht und
fällt mit der Sicherheit des Schlüssels.  Also hat man den Schlüssel
mindestens genauso gut abzusichern, wie das zu sichernde Gut selbst.
Die genaue Form des Schlüssels muss völlig geheim gehalten werden.


\clearpage
%% Original page 11

Geheime Schlüssel sind in der Kryptographie ein alter Hut: Schon immer
hat man Botschaften geheimzuhalten versucht, indem man den Schlüssel
geheimhielt.  Dies wirklich sicher zu machen ist sehr umständlich und
dazu auch sehr fehleranfällig.

\begin{center}
\htmlattributes*{img}{width=300}
\IncludeImage[width=0.4\textwidth]{tangled-schlapphut}
\end{center}

Das Grundproblem bei der "`gewöhnlichen"' geheimen Nachrichtenübermittlung
ist, dass für Ver- und Entschlüsselung derselbe Schlüssel benutzt wird
(symmetrische Verschlüsselung)
und dass sowohl der Absender als auch der Empfänger diesen geheimen
Schlüssel kennen.

Dies führt zu einer ziemlich paradoxen Situation: Bevor man mit einer
solcher Methode ein Geheimnis (eine verschlüsselte Nachricht)
mitteilen kann, muss man schon vorher ein anderes Geheimnis (den
Schlüssel) mitgeteilt haben.  Und da liegt der Hase im Pfeffer: Man
muss sich ständig mit dem Problem herumärgern, dass der Schlüssel
unbedingt ausgetauscht werden muss, aber auf keinen Fall von einem
Dritten abgefangen werden darf.



\clearpage
%% Original page 12

Gpg4win dagegen arbeitet ­-- außer mit dem geheimen Schlüssel -- mit einem
weiteren Schlüssel (engl. "`key"'), der vollkommen frei und öffentlich
(engl. "`public"') zugänglich ist.

Man spricht daher auch von einem "`Public-Key"' Verschlüsselungssystem.

Das klingt widersinnig, ist es aber nicht. Der Witz an der Sache: Es
muss kein geheimen Schlüssel mehr ausgetauscht werden. Im Gegenteil: Der
geheimen Schlüssel darf auf keinen Fall ausgetauscht werden!
Weitergegeben wird nur der öffentliche Schlüssel (im öffentlichen 
Zertifikat)~-- und den kann sowieso jeder kennen.

Mit Gpg4win benutzen Sie also ein Schlüsselpaar -- einen geheimen und
einen zweiten öffentlichen Schlüssel.  Beide Schlüssel sind durch
eine komplexe mathematische Formel untrennbar miteinander verbunden.
Nach heutiger wissenschaftlicher und technischer Kenntnis ist es
unmöglich, einen Schlüsselteil aus dem anderen zu berechnen und damit
das Verfahren zu knacken. In Kapitel \ref{ch:themath} bekommen Sie
erklärt, warum das so ist.

% Note: The texts on the signs are empty in the current revision.
% However, I used the original images and wiped out the texts ``Open
% Source"' and ``gratis"' - need to replace with something better.
% What about ``Artikel 10"' and ``von GnuPG erzeugt"'?
\begin{center}
\htmlattributes*{img}{width=300}
\IncludeImage[width=0.4\textwidth]{verleihnix}
\end{center}


\clearpage
%% Original page 13
Das Gpg4win-Prinzip ist wie gesagt recht einfach:

Der \textbf{geheime Schlüssel}, auch \textbf{private Schlüssel} genannt
(engl. ,,secret key'' oder ,,private key''), muss geheim gehalten werden.

Der \textbf{öffentliche Schlüssel} (engl. "`public key"'), soll so
öffentlich wie möglich gemacht werden.

Beide Schlüsselteile haben ganz und gar unterschiedliche Aufgaben:

\bigskip

\begin{quote}
    Der geheime Schlüsselteil \textbf{entschlüsselt} Nachrichten.
\end{quote}

\begin{center}
\htmlattributes*{img}{width=300}
\IncludeImage[width=0.9\textwidth]{key-with-shadow-bit}
\end{center}

\begin{quote}
    Der öffentliche Schlüsselteil \textbf{verschlüsselt} Nachrichten.
\end{quote}


\clearpage
%% Original page 14

\subsubsection{Der öffentliche Brieftresor}


In einem kleinen Gedankenspiel
wird die Methode des "`Public-Key"' Verschlüsselungssystems
und ihr Unterschied zur "`Nicht-Public-Key"' Methode deutlicher...

\bigskip

\textbf{Die "`Nicht-Public-Key"' Methode geht so:}

Stellen Sie sich vor, Sie stellen einen Brieftresor vor Ihrem Haus
auf, über den Sie geheime Nachrichten übermitteln wollen.

Der Brieftresor ist mit einem Schloss verschlossen, zu dem es nur
einen einzigen Schlüssel gibt. Niemand kann ohne diesen Schlüssel
etwas hineinlegen oder herausnehmen. Damit sind Ihre geheimen
Nachrichten zunächst einmal gut gesichert.

\begin{center}
\htmlattributes*{img}{width=300}
\IncludeImage[width=0.9\textwidth]{letter-into-safe}
\end{center}

Da es nur einen Schlüssel gibt, muss Ihr Korrespondenzpartner denselben
Schlüssel wie Sie haben, um den Brieftresor damit auf- und zuschließen
und eine geheime Nachricht deponieren zu können.


\clearpage
%% Original page 15
Diesen Schlüssel müssen Sie Ihrem Korrespondenzpartner auf geheimem
Wege übergeben.

\bigskip
\bigskip

\begin{center}
\htmlattributes*{img}{width=300}
\IncludeImage[width=0.7\textwidth]{secret-key-exchange}
\end{center}

\clearpage
%% Original page 16
Erst wenn der andere den geheimen Schlüssel hat, kann er den Brieftresor
öffnen und die geheime Nachricht lesen.

Alles dreht sich also um diesen Schlüssel: Wenn ein Dritter ihn kennt,
ist es sofort aus mit den geheimen Botschaften. Sie und Ihr
Korrespondenzpartner müssen ihn also \textbf{genauso} geheim austauschen wie
die Botschaft selbst.

Aber ­-- eigentlich könnten Sie ihm bei dieser Gelegenheit ja auch
gleich die geheime Mitteilung übergeben\ldots


\textbf{Übertragen auf die \Email{}-Verschlüsselung:} Weltweit müssten alle
\Email{}-Teilnehmer geheime Schlüssel besitzen und auf geheimem Wege
austauschen, bevor sie geheime Nachrichten per \Email{} versenden
könnten.

Vergessen Sie diese Möglichkeit am besten sofort wieder\ldots

\begin{center}
\htmlattributes*{img}{width=300}
\IncludeImage[width=0.9\textwidth]{letter-out-of-safe}
\end{center}

\clearpage
%% Original page 17
\textbf{Jetzt die "`Public-Key"' Methode:}

Sie installieren wieder einen Brieftresor vor Ihrem Haus.  Aber:
dieser Brieftresor ist ­-- ganz im Gegensatz zu dem ersten Beispiel
-- stets offen.  Direkt daneben hängt --­ weithin öffentlich sichtbar
-- ein Schlüssel, mit dem jedermann den Brieftresor zuschließen kann
(asymmetrisches Verschlüsselungsverfahren).

\textbf{Zuschließen, aber nicht aufschließen:} das ist der Trick!

\begin{center}
\htmlattributes*{img}{width=300}
\IncludeImage[width=0.7\textwidth]{pk-safe-open}
\end{center}

Dieser Schlüssel gehört Ihnen, und -- Sie ahnen es: Es ist Ihr
öffentlicher Schlüssel.

Wenn jemand Ihnen eine geheime Nachricht hinterlassen will, legt er
sie in den Brieftresor und schließt mit Ihrem öffentlichen Schlüssel
ab.  Jedermann kann das tun, denn der Schlüssel dazu ist ja völlig
frei zugänglich.

Kein anderer kann den Brieftresor nun öffnen und die Nachricht lesen.
Selbst derjenige, der die Nachricht in dem Brieftresor eingeschlossen
hat, kann ihn nicht wieder aufschließen, z.B. um die
Botschaft nachträglich zu verändern.

Denn die öffentliche Schlüsselhälfte taugt ja nur zum Abschließen.

Aufschließen kann man den Brieftresor nur mit einem einzigen
Schlüssel: Ihrem eigenen geheimen oder privaten Schlüsselteil.

\clearpage
%% Original page 18

\textbf{Wieder übertragen auf die \Email{}-Verschlüsselung:} Jedermann
kann eine \Email{} an Sie verschlüsseln. Er benötigt dazu keineswegs
einen geheimen, sondern ganz im Gegenteil einen vollkommen
öffentlichen, "`ungeheimen"' Schlüssel. Nur ein einziger Schlüssel
entschlüsselt die \Email{} wieder: Ihr privater, geheimer Schlüssel.

Spielen Sie das Gedankenspiel noch einmal anders herum:

Wenn Sie einem anderen eine geheime Nachricht zukommen lassen wollen,
benutzen Sie dessen Brieftresor mit seinem öffentlichen, frei
verfügbaren Schlüssel.

Sie müssen Ihren Briefpartner dazu nicht persönlich kennen, ihn
getroffen oder je mit ihm gesprochen haben, denn sein öffentlicher
Schlüssel ist überall und jederzeit zugänglich. Wenn Sie Ihre
Nachricht hinterlegt und den Brieftresor des Empfängers mit seinem
öffentlichem Schlüssel wieder verschlossen haben, ist sie völlig
unzugänglich für jeden anderen, auch für Sie selbst.  Nur der
Empfänger kann den Brieftresor mit seinem privaten Schlüssel öffnen
und die Nachricht lesen.

\begin{center}
\htmlattributes*{img}{width=300}
\IncludeImage[width=0.9\textwidth]{pk-safe-opened-with-sk}
\end{center}


\clearpage
%% Original page 19 
\textbf{Was ist nun eigentlich gewonnen:} Es gibt immer noch einen
geheimen Schlüssel!?

Der Unterschied gegenüber der "`Nicht-Public-Key"' Methode ist
allerdings ein gewaltiger:

Ihren privater Schlüssel kennen und benutzen nur Sie selbst.  Er wird
niemals einem Dritten mitgeteilt ­-- die Notwendigkeit einer geheimen
Übergabe entfällt, sie verbietet sich sogar.

Es muss überhaupt nichts Geheimes mehr zwischen Absender und Empfänger
ausgetauscht werden -- weder eine geheime Vereinbarung noch ein
geheimes Codewort.

Das ist ­-- im wahrsten Sinne des Wortes -- der Knackpunkt: Alle
gewöhnlichen (symmetrischen) Verschlüsselungsverfahren können geknackt werden, weil ein
Dritter sich beim Schlüsselaustausch in den Besitz des Schlüssels
bringen kann.

Dieses Risiko entfällt, weil ein geheimer Schlüssel nicht ausgetauscht
wird und sich nur an einem einzigen Ort befindet: dem eigenen Schlüsselbund.


\clearpage
%% Original page 20
\xname{die-passphrase}
\chapter{Die Passphrase}
\label{ch:passphrase}

Wie Sie im letzten Kapitel gelesen haben, ist der private Schlüssel eine der
wichtigsten Komponenten in einem "`Public-Key"' (asymmetrischen)
Verschlüsselungsverfahren. Man muss
(und darf) ihn zwar nicht mehr auf geheimem Wege mit seinen
Korrespondenzpartnern austauschen, aber nach wie vor ist seine
Sicherheit der Schlüssel zur Sicherheit des "`ganzen"' 
Kryptografieverfahrens.

Es ist deswegen eminent wichtig, diesen privaten Schlüssel sicher
abzuspeichern. Dies geschieht auf zweierlei Weise:

\begin{center}
\htmlattributes*{img}{width=300}
\IncludeImage[width=0.3\textwidth]{think-passphrase}
\end{center}

Jeder andere Benutzer des Rechners, auf dessen Festplatte dieser
Schlüssel gespeichert ist, darf keinen Zugriff auf ihn erhalten --
weder zum Schreiben noch zum Lesen.  Es ist deswegen unbedingt zu
vermeiden, den Schlüssel in einem öffentlichen Dateiordner
(z.B. \verb=c:\Temp= oder \verb=c:\WINNT=) abzulegen.  Gpg4win
speichert den Schlüssel deswegen im sogenannten "`Heimatverzeichnis"'
("`Eigene Dateien"') von GnuPG ab.
Dies kann sich je nach konfiguriertem Betriebssystem an unterschiedlichen Orten
befinden; für einen Benutzer mit
dem Anmeldenamen "`Harry"' könnte es z.B.:\newline
\verb=C:\Dokumente und Einstellungen\harry\Anwendungsdaten\gnupg= \newline
sein.  Der geheime Schlüssel befindet sich dort in einer Datei mit dem
Namen \verb=secring.gpg=.

Dieser Schutz allein ist allerdings nicht ausreichend: Zum einen kann
der Administrator des Rechners immer auf alle Dateien zugreifen --
also auch auf Ihren geheimen Schlüssel.  Zum anderen könnte der Rechner
abhanden kommen oder durch "`Malware"' (Viren-, Würmer-,
Trojanersoftware) kompromittiert werden. 

Ein weiterer Schutz ist deswegen notwendig.  Dieser besteht aus einer
Passphrase.

Die Passphrase sollte nicht nur aus einem Wort bestehen, sondern z.B.
aus einem Satz. Sie sollten diese Passphrase wirklich "`im Kopf"'
behalten und niemals aufschreiben müssen.

Trotzdem darf sie nicht erraten werden können. Das klingt vielleicht
widersprüchlich, ist es aber nicht. Es gibt einige erprobte Tricks,
mit deren Hilfe Sie sich eine völlig individuelle, leicht zu
merkende und nur sehr schwer zu erratende Passphrase ausdenken
können.


\clearpage
%% Original page 21
Eine \textbf{gute Passphrase} kann so entstehen:

Denken Sie an einen Ihnen gut bekannten Satz, z.B.: 

$\qquad$\verb-Ein blindes Huhn findet auch einmal ein Korn.-

Aus diesem Satz nehmen Sie beispielsweise jeden dritten Buchstaben:

$\qquad$\verb-nieufdahnlnr- 
\texttt{\scriptsize{(Ei\textbf{n}
bl\textbf{i}nd\textbf{e}s H\textbf{u}hn \textbf{f}in\textbf{d}et
\textbf{a}uc\textbf{h} ei\textbf{n}ma\textbf{l} ei\textbf{n}
Ko\textbf{r}n.)}}


Diesen Buchstabensalat können Sie sich zunächst sicher nicht gut
merken, aber Sie werden ihn eigentlich nie vergessen, solange Sie den
ursprünglichen Satz im Kopf haben. Im Laufe der Zeit und je öfter Sie
ihn benutzen, prägt sich so eine Passphrase in Ihr Gedächtnis. Erraten
kann diese Passphrase niemand.


Denken Sie an ein Ereignis, das sich bereits fest in Ihrem
persönlichen Langzeitgedächtnis verankert hat.  Vielleicht gibt es
einen Satz, mit dem sich Ihr Kind oder Ihr Partner "`unvergesslich"'
gemacht hat. Oder eine Ferienerinnerung, oder einer Textzeile aus
einem für Sie wichtigen Liedes.


Verwenden Sie kleine und große Buchstaben, Nummern, Sonder- und
Leerzeichen durcheinander. Im Prinzip ist alles erlaubt, auch "`Ö"',
"`ß"', "`\$"' usw.

Aber Vorsicht -- falls Sie Ihren geheimen Schlüssel im Ausland an
einem fremden Rechner benutzen wollen, bedenken Sie, dass
fremdsprachige Tastaturen diese Sonderzeichen oft nicht haben.
Beispielsweise werden Sie kein "`ä"' auf einer englischen
Tastatur finden.


%% Original page  22
Machen Sie Rechtschreibfehler, z.B. "`feLer"' statt "`Fehler"'.
Natürlich müssen Sie sich diese "`feLer"' gut merken können.  Oder
wechseln Sie mittendrin die Sprache.  Aus dem schönen Satz:

$\qquad$\verb-In München steht ein Hofbräuhaus.-

könnten man beispielsweise diese Passphrase machen:

$\qquad$\verb-inMinschen stet 1h0f breuhome-

Denken Sie sich einen Satz aus, der möglichst unsinnig ist, den Sie
sich aber doch merken können, wie z.B.:

$\qquad$\verb-Es blaut so garstig beim Walfang, neben Taschengeld, auch im Winter.-

Eine Passphrase in dieser Länge ist ein sicherer Schutz für Ihren
geheimen Schlüssel.

Sie darf auch kürzer sein, wenn Sie einige Buchstaben groß schreiben,
z.B. so:

$\qquad$\verb-Es blAut nEBen TaschengeLd auch im WiNter.-

Das ist nun kürzer, aber nicht mehr so leicht zu merken. 
Wenn Sie eine noch kürzere Passphrase verwenden, 
indem Sie hier und da Sonderzeichen benutzen,
haben Sie zwar bei der Eingabe weniger zu tippen, aber die
Wahrscheinlichkeit, dass Sie Ihre Passphrase vergessen, wird dabei
noch größer.

Ein extremes Beispiel für eine möglichst kurze, aber dennoch sehr
sichere Passphrase ist dieses hier:

$\qquad$\verb-R!Qw"s,UIb *7\$-

In der Praxis haben sich solche Zeichenfolgen allerdings als recht
wenig brauchbar herausgestellt, da man einfach zu wenig Anhaltspunkte
für die Erinnerung hat.

\clearpage
%% Original page 23
Eine \textbf{schlechte Passphrase} ist blitzschnell "`geknackt"', wenn
sie...

\begin{itemize}
\item ... schon für einen anderen Zweck benutzt wird (z.B. für einen
  \Email{}-Account oder Ihr Handy). Die gleiche Passphrase wäre damit
  bereits einer anderen, möglicherweise unsicheren Software bekannt.

\item ... aus einem Wörterbuch stammt. Passphrase-Knackprogramme
    überprüfen binnen Minuten umfangreiche elektronische Wörterbücher.

\item ... aus einem Geburtsdatum, einem Namen oder anderen öffenlichen
    Informationen besteht. Wer vorhat, Ihre \Email{}
    zu entschlüsseln, wird sich diese Daten beschaffen.

\item ... ein landläufiges Zitat ist; wie z.B. "`das wird böse enden"' oder "`to
  be or not to be"'. Auch mit derartigen gängigen Zitaten testen
  Passwphrase-Knackprogramm routinemäßig und blitzschnell eine Passphrase.

\item ... aus nur einem Wort oder aus weniger als 8 Zeichen besteht.
  Denken Sie sich unbedingt eine längere Passphrase aus.

\end{itemize}

Wenn Sie nun Ihre Passphrase zusammenstellen, nehmen Sie
\textit{auf gar keinen Fall} eines der oben angeführten Beispiele.  Denn es liegt auf
der Hand: Wenn sich jemand ernsthaft darum bemüht Ihre
Passphrase herauszubekommen, würde er zuerst ausprobieren, ob Sie
nicht eines dieser Beispiele genommen haben.

\bigskip

\textbf{Seien Sie kreativ!} Denken Sie sich jetzt eine Passphrase aus!
Unvergesslich und unknackbar.

Lesen Sie dann im Kapitel~\ref{ch:CreateKeyPair} weiter, um Ihre neue
Passphrase bei der Erzeugung Ihres Schlüsselpaars festzulegen.




\clearpage
%% Original page 24
\xname{schluessel-im-detail}
\chapter{Zertifikat im Detail}
\label{ch:CertificateDetails}

Auf Seite \pageref{sec_finishKeyPairGeneration} haben Sie sich schon
den Detaildialog Ihres erzeugten Zertifikats angesehen. Viele Angaben
zu Ihrem Zertifikat sind dort aufgelistet. Im
folgenden Abschnitt bekommen Sie einen Überblik über die wichtigsten
Punkte (beachten Sie dabei die Unterschiede für
OpenPGP- und X.509-Zertifikate):

\begin{itemize}
\item die Benutzer-ID
\item den Fingerabdruck
\item die Gültigkeit
\item das Inhabervertrauen \textit{(nur OpenPGP)}
\item die Beglaubigungen \textit{(nur OpenPGP)}
\end{itemize}

\textbf{Die Benutzer-ID} besteht aus dem Namen und der
\Email{}-Adresse, die Sie während der Zertifikatserzeugung eingegeben
haben, also z.B.: \verb=Heinrich Heine <heinrichh@gpg4win.de>=\\
Für OpenPGP-Zertifikate können Sie mit Kleopatra über den Menüpunkt
\Menu{Zertifikate$\rightarrow$Benutzer-ID hinzufügen...} Ihr
Zertifikat um weitere Benutzerkennungen erweitern. Das ist dann
sinnvoll, wenn Sie z.B. für eine weitere \Email{}-Adressen Ihr gleiches
Zertifikat nutzen möchten.\\
\textit{Beachten Sie: Hinzufügen neuer Benutzer-IDs ist in Kleopatra
nur für OpenPGP-Zertifikate (nicht aber für X.509) möglich.}

\textbf{Der Fingerabdruck} wird verwendet, um mehrere
Zertifikate voneinander zu unterscheiden. Mit dieser Kennung können
Sie nach (öffentlichen) Zertifikaten suchen, die z.B. auf einem
weltweit verfügbaren OpenPGP-Zertifikatsservern (engl. "`key server"') oder auf einem
X.509-Zertifikatsserver liegen.
Was Zertifikatsserver sind, erfahren Sie im folgenden Kapitel.

\textbf{Die Gültigkeit} von Zertifikaten wird stets unter dem
zeitlichen Aspekt betrachtet. Für OpenPGP-Zertifikate ist die
Gültigkeit normalerweise auf "`Unbegrenzt"' gesetzt. Sie können dies
selbständig mit Kleopatra ändern, indem Sie auf die Schaltfläche
"`Ablaufdatum ändern"' in den Zertifikatsdetails klicken (oder den Menü
\Menu{Zertifikate$\rightarrow$Ablaufdatum ändern} auswählen) 
und ein neues Datum eintragen. Damit können
Sie Zertifkate nur für eine begrenzte Zeit gültig erklären, z.B., 
um sie an externe Mitarbeiter auszugeben.\\
Die Gültigkeit von X.509-Zertifikaten wird bei der Zertifkatsausstellung
von der Zertifizierungsstelle (CA) festgelegt und kann nicht vom Nutzer
geändert werden.

\textbf{Das Inhabervertrauen} beschreibt das Maß an Zuversicht, das
Sie subjektiv in den Besitzer des OpenPGP-Zertifikats setzen, andere
OpenPGP-Zertifikate korrekt zu beglaubigen.
Sie können das Vertrauen über die Schaltfläche \Button{Vertraue durch dieses Zertifikat
ausgestellte Beglaubigungen} in den Zertifikatsdetails (oder über das Menü
\Menu{Zertifikate$\rightarrow$Inhabervertrauen ändern}) einstellen.\\
\textit{Beachten Sie: Das Inhabervertrauen ist nur für OpenPGP-Zertifikate
relevant. Für X.509-Zertifikate gibt es diese Vertrauensmethode
nicht.}

\textbf{Die Beglaubigungen} Ihres OpenPGP-Zertifikats beinhalten die
Benutzer-IDs derjenigen Zertifikatsinhaber, die sich von der Echtheit
Ihres Zertifikats überzeugt und es dann auch beglaubigt haben. Das
Vertrauen in die Echtkeit Ihres Zertifikats steigt mit der Anzahl an
Beglaubigungen, die Sie von anderen Nutzern erhalten.\\
\textit{Beachten Sie: Beglaubigungen sind nur für OpenPGP-Zertifikate
relevant. Für X.509-Zertifikate gibt es diese Vetrauensmethode nicht.}

~\\
Diese Zertifikatsdetails sind für die tagtägliche Benutzung von Gpg4win nicht
unbedingt erforderlich. Sie werden relevant, wenn Sie neue Zertifikate
erhalten oder ändern. 

Wie Sie fremde Zertifikate prüfen und beglaubigen und was genau das
"`Netz des Vertrauens"' ist, erfahren Sie im Kapitel \ref{ch:trust}.


\clearpage
%% Original page 25
\xname{die-zertifikatsserver}
\chapter{Die Zertifikatsserver}
\label{ch:keyserver}


Die Nutzung eines Zertifikatsservers zum Verbreiten Ihres
öffentlichen (OpenPGP- oder X.509-) Zertifikats wurde bereits im
Abschnitt~\ref{sec_publishPerKeyserver} einführend erläutert. Dieses
Kapitel beschäftigt sich mit den Details von Zertifikatsservern und
zeigt Ihnen, wie sie diese mit Kleopatra nutzen können.

Zertifikatsserver können von allen Programmen benutzt werden, die den
OpenPGP- bzw. X.509-Standard unterstützen.

Kleopatra unterstützt zwei Arten von Zertifikatsservern:
\begin{itemize}
    \item OpenPGP-Zertifikatsserver (siehe Abschnitt \ref{openpgpCertificateServer})
    \item X.509-Zertifikatsserver (siehe Abschnitt
        \ref{x509CertificateServer}, Seite \pageref{x509CertificateServer})

\end{itemize}



\section{OpenPGP-Zertifikatsserver}
\label{openpgpCertificateServer}

OpenPGP-Zertifikatsserver (im Englischen auch "`key server"' genannt)
sind dezentral organisiert und synchronisieren sich weltweit
miteinander. Aktuelle Statistiken
über ihre Zahl oder die Anzahl der dort liegenden OpenPGP-Zertifikate gibt es
nicht. Dieses verteilte Netz von
\T\margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
OpenPGP-Zertifikatsservern sorgt für eine bessere
Verfügbarkeit und verhindert, dass einzelne Systemadministratoren
Zertifikate löschen, um so die Kommunikation unmöglich zu machen
("`Denial of Service"'-Angriff).

\begin{center}
\htmlattributes*{img}{width=300}
\IncludeImage[width=0.3\textwidth]{keyserver-world}
\end{center}



%% Original page 26
\clearpage
\subsubsection{OpenPGP-Zertifikatsserver-Adressen}

Es wird empfohlen, nur moderne OpenPGP-Zertifikatsserver zu verwenden,
da nur diese mit den neueren Merkmalen von OpenPGP umgehen können.

Hier eine Auswahl von gut funktionierenden Zertifikatsservern:
\begin{itemize}
\item hkp://blackhole.pca.dfn.de
\item hkp://pks.gpg.cz
\item hkp://pgp.cns.ualberta.ca
\item hkp://minsky.surfnet.nl
\item hkp://keyserver.ubuntu.com
\item hkp://keyserver.pramberger.at
\item http://gpg-keyserver.de
\item http://keyserver.pramberger.at
\end{itemize}

Sollte Sie Probleme mit einer Firewall haben, so versuchen Sie am
besten die Zertifikatsserver, deren URL mit \verb-http://- beginnen.
%TODO#: Verweis auf Proxy-Konfiguration

Die Zertifikatsserver unter den Adressen
\begin{itemize}
\item hkp://keys.gnupg.net
\item hkp://subkeys.pgp.net
\end{itemize}
sind ein Sammelpunkt für ein ganzes Netz dieser Server; es wird
dann zufällig ein konkreter Server ausgewählt.

\textbf{Achtung:} Der Zertifikatsserver \verb=ldap://keyserver.pgp.com= synchronisiert
sich nicht mit den anderen Servern und sollte i.d.R. nicht benutzt
werden.

\clearpage
\subsubsection{OpenPGP-Zertifikatsserver einrichten}

Öffnen Sie die Kleopatra-Einstellungen:
\Menu{Einstellungen$\rightarrow$Kleopatra einrichten...}

Legen Sie unter der Rubrik
"`Zertifikatsserver"' einen neuen
OpenPGP-Zertifikatsserver an, indem Sie auf \Menu{Neu$\rightarrow$OpenPGP}
klicken. In der Liste wird ein voreingestellter Zertifikatsserver mit
der folgenden Adresse hinzugefügt:\\
\verb=hkp://keys.gnupg.net= (Port 11371)


%TODO screenshot: Kleopatra OpenPGP certificate server config dialog
\begin{center}
\IncludeImage[width=0.6\textwidth]{sc-kleopatra-configureKeyserver_de}
\end{center}

Passen Sie den Eintrag nach Bedarf an (z.B. indem Sie eine
der vorgeschlagenen Serveradressen von der letzten Seite hier
übernehmen).

Bestätigen Sie abschließend Ihre Konfiguration mit \Button{OK}. Ihr
OpenPGP-Zertifikatsserver ist nun erfolgreich eingerichtet.

Sie können nun Zertifikate auf diesen Server exportieren, suchen
und von dort aus in Ihre Zertifikatsverwaltung
importieren. Wie das genau geht, erfahren Sie auf den nächsten Seiten.

Um sicherzugehen, dass Sie den Zertifikatsserver korrekt konfiguriert
haben, ist es hilfreich z.B. eine Zerifikatssuche auf dem Server zu
starten (Anleitung dazu auf der nächsten Seite).


\clearpage
\subsubsection{Zertifikate auf OpenPGP-Zertifikatsserver exportieren}

Wenn Sie einen OpenPGP-Zertifikatsserver eingerichtet haben (siehe
letzte Seite), genügt ein Maus\-klick und Ihr öffentliches OpenPGP-Zertifikat
ist unterwegs rund um die Welt:

Wählen Sie Ihr OpenPGP-Zertifikat in Kleopatra aus und klicken 
anschließend auf den Menüeintrag:
\Menu{Datei$\rightarrow$Zertifikate nach Server exportieren...}.

Sie brauchen Ihr Zertifikat nur an irgendeinen der verfügbaren
OpenPGP-Zertifikatsserver zu senden, denn fast alle synchronsieren sich weltweit
miteinander. Es kann ein, zwei Tage dauern, bis Ihr OpenPGP-Zertifikat wirklich überall
verfügbar ist, aber dann haben Sie ein "`globales"' Zertifikat.

Sollten Sie Ihr Zertifikat exportieren ohne zuvor einen
OpenPGP-Zertifikatsserver eingerichtet zu haben, so schlägt Ihnen
Kleopatra den bereits voreingestellten Server
\texttt{hkp://keys.gnupg.net} zur Verwendung vor.


\subsubsection{Zertifikate auf OpenPGP-Zertifikatsserver suchen und importieren}
\label{searchAndImportCertificateFromServer}
%% Original page 27

Genauso einfach wie Sie ein Zertifikat auf einen OpenPGP-Zertifikatsserver 
exportieren, können Sie auch nach Zertifikaten suchen und diese später importieren.

Klicken Sie dazu in Kleopatra auf 
\Menu{Datei$\rightarrow$Zertifikate auf Server suchen...}. 

Sie
erhalten einen Suchdialog, in dessen Eingabefeld Sie den
Namen des Zertifikatsbesitzers, oder besser, seine \Email{}-Adresse
oder sein Fingerabdruck des Zertifikat eingeben können.

%TODO screenshot: Kleopatra certification search dialog
\begin{center}
\IncludeImage[width=0.6\textwidth]{sc-kleopatra-certificateSearchOnKeyserver_de}
\end{center}

Um die Details eines ausgewählten Zertifikats zu sehen, klicken Sie
auf die Schaltfläche \Button{Details...}.


%% Original page 28
Möchten Sie nun eines der gefundenen Zertifikate in Ihre lokale
Zertifikatssammlung hinzufügen? Dann selektieren Sie das
Zertifikat aus der Liste der Suchergebnisse und
klicken Sie auf \Button{Importieren}.

Kleopatra zeigt Ihnen anschließend einen Dialog mit den
Ergebnissen des Importvorgangs an. Bestätigen Sie diesen mit
\Button{OK}.

War der Import erfolgreich, finden Sie nun das ausgewählte Zertifikat in
der Kleopatra-Zertifikatsverwaltung.

\textbf{Anmerkung:} Dieser Vorgang des Suchens und Importierens von Zertifikaten gilt
genauso auch für X.509-Zertifikatsserver.

\clearpage
\section{X.509-Zertifikatsserver}
\label{x509CertificateServer}

\T\margin{\IncludeImage[width=1.5cm]{smime-icon}}
X.509-Zertifikatsserver werden in der Regel
von den Zertifizierungsstellen (CA) über LDAP bereitgestellt und
werden manchmal auch als Verzeichnisdienste für X.509-Zertifikate
bezeichnet.

\subsubsection{X.509-Zertifikatsserver einrichten}

Öffnen Sie die Kleopatra-Einstellungen:
\Menu{Einstellungen$\rightarrow$Kleopatra einrichten...}

Legen Sie unter der Rubrik
"`Zertifikatsserver"' einen neuen
X.509-Zertifikatsserver an, indem Sie auf \Menu{Neu$\rightarrow$X.509}
klicken. In der Liste erscheint ein neuer Eintrag mit dem Protokoll
\texttt{ldap}, dem Servernamen \texttt{server} und dem Server-Port
\texttt{389}. Vervollständigen Sie nun die Angaben zu Servername und
Basis-DN Ihres X.509-Zertifikatsservers und überprüfen Sie den
Server-Port.

Erfordert Ihr Zertifikatsserver Benutzername und
Passwort, so aktivieren Sie die Option \textit{Benutzername und
Passwort anzeigen} und tragen Ihre gewünschten Angaben ein.



%TODO screenshot: Kleopatra OpenPGP certificate server config dialog
\begin{center}
\IncludeImage[width=0.6\textwidth]{sc-kleopatra-configureKeyserver_de}
\end{center}

Bestätigen Sie abschließend Ihre Konfiguration mit \Button{OK}. Ihr
OpenPGP-Zertifikatsserver ist nun erfolgreich eingerichtet.

Sie können nun Zertifikate auf diesem Server suchen
und von dort aus in Ihre Zertifikatsverwaltung
importieren. 

Das Vorgehen beim \textbf{Suchen und Importieren} eines
X.509-Zertifikats auf einem X.509-Zertifikatsserver ist identisch zu dem
Suchen und Importieren von OpenPGP-Zertifikaten auf einem
OpenPGP-Zertifikatsserver. Eine genaue Anleitung dazu finden Sie auf
Seite~\pageref{searchAndImportCertificateFromServer}.


\clearpage
%% Original page 31
\xname{die-zertifikatspruefung}
\chapter{Die Zertifikatsprüfung}
\label{ch:trust}

Woher wissen Sie eigentlich, dass das fremde Zertifikat
wirklich vom genannten Absender stammt? Und umgekehrt -- warum sollte Ihr
Korrespondenzpartner glauben, dass das Zertifikat, das Sie
ihm geschickt haben, auch wirklich von Ihnen stammt?  Die
Absenderangabe auf einer \Email{} besagt eigentlich gar nichts,
genauso wie die Absenderangabe auf einem Briefumschlag.

Wenn Ihre Bank z.B. eine \Email{} mit Ihrem Namen und der Anweisung
erhält, Ihr sämtliches Guthaben auf ein Nummernkonto auf den Bahamas
zu überweisen, wird sie sich hoffentlich weigern -- \Email{}-Adresse
hin oder her.  Eine \Email{}-Adresse besagt überhaupt nichts über die
Identität des Absenders.

\clearpage
\subsubsection{Der Fingerabdruck}
Wenn Sie nur einen kleinen Kreis von Korrespondenzpartnern haben, ist
die Sache mit der Identität schnell geregelt: Sie prüfen den
Fingerabdruck des anderen Zertifikats.

Jedes Zertifikat trägt eine einmalige Kennzeichnung, die
es zweifelsfrei identifiziert; besser noch als ein Fingerabdruck
eines Menschen. Deshalb bezeichnet man diese Kennzeichnung eben als
Fingerabdruck.

Wenn Sie sich zu einem Zertifikat die Details in Kleopatra anzeigen
lassen (z.B. durch Doppelklick auf das Zertifikat), sehen Sie u.a.
dessen 40-stelligen Fingerabdruck:

%TODO: mit Adeles Zertifikat
% screenshot:  GPA key listing with fingerprint
\begin{center}
\IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-certificateDetails_de}
\end{center}

Der Fingerabdruck von Adeles OpenPGP-Zertifikat ist also:\\
%TODO
\verb+BA90 087D 0C6C 7F4D EAF0 0907 BCFA 2133 DDC8 CA90+



%% Original page 32
~\\
Wie gesagt -- der Fingerabdruck identifiziert das Zertifikat und seinen
Besitzer eindeutig.

Rufen Sie Ihren Korrespondenzpartner einfach an, und lassen Sie sich
von ihm den Fingerabdruck seines Zertifikats vorlesen. Wenn die Angaben
mit dem Ihnen vorliegenden Zertifikat übereinstimmen, haben Sie
eindeutig das richtige Zertifikat.

Natürlich können Sie sich auch persönlich mit dem Eigentümer des
Zertifikats treffen oder auf jedem anderen Wege mit ihm kommunizieren,
solange Sie ganz sicher sind, dass Zertifikat und Eigentümer zusammen
gehören. Häufig ist der Fingerabdruck auch auf Visitenkarten abgedruckt;
wenn Sie also eine authentische Visitenkarte haben, so können Sie sich
den Anruf ersparen.


\clearpage
\subsubsection{OpenPGP-Zertifikat beglaubigen}

Nachdem Sie sich "`per Fingerabdruck"' von der Echtheit des
Zertifikats überzeugt haben, haben Sie nun die Möglichkeit,
dieses Zertifikat zu beglaubigen.


\textit{Beachten Sie: \T\margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
Beglaubigen von Zertifikaten durch Benutzer ist nur mit OpenPGP
möglich. Bei X.509 ist das authorisierten Stellen vorbehalten!}

Durch das Beglaubigen eines (fremden) Zertifikats teilen Sie anderen
(Gpg4win-)Benutzern mit, dass Sie dieses
Zertifikat für echt halten: Sie übernehmen so etwas wie die "`Patenschaft"' über
dieses Zertifikat und erhöhen das allgemeine Vertrauen in seiner
Echtheit.

~\\
\textbf{Wie funktioniert das Beglaubigen nun genau?}\\
Selektieren Sie in Kleopatra das OpenPGP-Zertifikat, dass Sie für echt
halten und beglaubigen möchten. Wählen Sie anschließend im Menü:
\Menu{Zertifikate$\rightarrow$Zertifikat beglaubigen...}

Im nachfolgenden Dialog bestätigen Sie nun noch einmal das zu
beglaubigende OpenPGP-Zertifikat mit \Button{Weiter}:

% TODO screenshot: Kleopatra certify certificate 1
\begin{center}
\IncludeImage[width=0.6\textwidth]{sc-kleopatra-certifyCertificate1_de}
\end{center}

\clearpage
Im nächsten Schritt wählen Sie \textit{Ihr} OpenPGP-Zertifikat aus, mit dem Sie das
(im letzten Schritt ausgewählte) Zertifikat beglaubigen wollen:
% TODO screenshot: Kleopatra certify certificate 2
\begin{center}
\IncludeImage[width=0.6\textwidth]{sc-kleopatra-certifyCertificate2_de}
\end{center}

Entscheiden Sie hier, ob Sie
\Button{Nur für mich selbst beglaubigen} oder
\Button{Für alle sichtbar beglaubigen} wollen. Bei
letzterer Variante haben Sie die Option, das beglaubigte Zertifikat
anschließend auf einen OpenPGP-Zertifikatsserver hochzuladen und damit der Welt ein
mit Ihrer Beglaubigung versehenes, aktualisiertes Zertifikat 
zur Verfügung zu stellen.

Bestätigen Sie Ihre Auswahl mit \Button{Beglaubigen}.

Wie beim Signieren einer \Email{} müssen Sie auch beim Beglaubigen eines
Zertifikats (mit Ihrem privaten Schlüssel) Ihre Passphrase eingeben.
Erst nach korrekter Eingabe ist die Beglaubigung abgeschlossen.

\clearpage 

Nach erfolgreicher Beglaubigung erhalten Sie folgendes Fenster:
% TODO screenshot: Kleopatra certify certificate 3
\begin{center}
\IncludeImage[width=0.6\textwidth]{sc-kleopatra-certifyCertificate3_de}
\end{center}

~\\
Wollen Sie nun einmal die erfolgte Beglaubigung überprüfen?\\
Dann öffnen Sie die Zertifikatsdetails des eben beglaubigten
Zertifikats. Wählen Sie den Reiter \textit{Benutzer-IDs und
Beglaubigungen} und klicken auf die Schaltfläche \Button{Hole
Beglaubigungen ein}.

Sortiert nach den Benutzer-IDs sehen sie alle Beglaubigungen, die in
diesem Zertifikat enthalten sind. Hier sollte Sie auch Ihre
Zertifikat wiederfinden, mit dem Sie eben beglaubigt haben.

\clearpage
%% Original page 33/34

\subsubsection{Das Netz des Vertrauens}

Durch das Beglaubigen von Zertifikaten entsteht -- auch über den Kreis von
Gpg4win-Benutzern und Ihrer täglichen Korrespondenz hinaus -- ein "`Netz
des Vertrauens"', bei dem Sie nicht mehr zwangsläufig darauf
angewiesen sind, ein OpenPGP-Zertifikat direkt zu prüfen.
\T\margin{\IncludeImage[width=1.5cm]{openpgp-icon}}

\begin{center}
\htmlattributes*{img}{width=300}
\IncludeImage[width=0.9\textwidth]{key-with-sigs}
\end{center}

Natürlich steigt das Vertrauen in ein Zertifikat,
wenn mehrere Leute es beglaubigen. Ihr eigenes OpenPGP-Zertifikat
wird im Laufe der Zeit die Beglaubigungen vieler anderer GnuPG-Benutzer
tragen. Damit können immer mehr Menschen darauf vertrauen, dass dieses
Zertifikat wirklich Ihnen und niemandem sonst gehört.

Wenn man dieses "`Web of Trust"' weiterspinnt, entsteht eine flexible
Beglaubigungs-Infra\-struktur.

Eine einzige Möglichkeit ist denkbar, mit dem man diese Zertifikatsprüfung 
aushebeln kann: Jemand schiebt Ihnen einen falsches
Zertifikat unter. Also einen öffentlicher OpenPGP-Schlüssel, der vorgibt, von X
zu stammen, in Wirklichkeit aber von Y ausgetauscht wurde.  Wenn ein
solches gefälschtes Zertifikat beglaubigt wird, hat das "`Netz des
Vertrauens"' natürlich ein Loch. Deshalb ist es so wichtig, sich zu
vergewissern, ob ein Zertifikat, wirklich zu der Person
gehört, der er zu gehören vorgibt.

Was aber, wenn eine Bank oder Behörde überprüfen möchte, ob die
Zertifikate ihrer Kunden echt sind? Alle anzurufen, kann hier sicher
nicht die Lösung sein\ldots


\clearpage
%% Original page 35
\subsubsection{Zertifizierungsinstanzen}

Hier braucht man eine "`übergeordnete"' Instanz, der alle Benutzer
vertrauen können.  Sie überprüfen ja auch nicht persönlich den
Personalausweis eines Unbekannten durch einen Anruf beim Ein\-wohner\-melde\-amt,
sondern vertrauen darauf, dass die ausstellende
Behörde diese Überprüfung korrekt durchgeführt und beglaubigt hat.

Solche Zertifizierungsinstanzen gibt es auch für OpenPGP.
In Deutschland bietet unter anderem z.B. die
Zeitschrift c't schon lange einen solchen Dienst kostenlos an, ebenso
wie viele Universitäten.
\T\margin{\IncludeImage[width=1.5cm]{openpgp-icon}}

Wenn man also ein OpenPGP-Zertifikat erhält, dem eine
Zertifizierungsstelle per Beglaubigung seine Echtheit bestätigt, kann man
sich darauf verlassen.

~\\
Derartige Beglaubigungsinstanzen oder "`Trust Center"' sind auch bei
anderen Verschlüsselungsverfahren -- wie z.B. S/MIME  --
\T\margin{\IncludeImage[width=1.5cm]{smime-icon}}
vorgesehen.
Im Gegensatz zum ,,Web of Trust'' sind sie hierarchisch strukturiert: Es gibt eine "`Oberste
Beglaubigungsinstanz"', die weitere "`Unterinstanzen"' beglaubigt und
ihnen das Recht vergibt, Benutzerzertifikate zu beglaubigen
(vgl. Kapitel~\ref{ch:openpgpsmime}).

Am besten ist diese Infrastruktur mit einem Siegel vergleichbar: Die
Plakette auf Ihrem Autonummernschild kann Ihnen nur eine dazu
berichtigte Institution geben, die die Befugnis dazu wiederum von einer
übergeordneten Stelle erhalten hat.


%% Original page 36

Mit der hierarchischen Zertifizierungs-Infrastruktur entspricht dieses
Modell natürlich wesentlich besser den Bedürfnissen staatlicher und
behördlicher Instanzen als das lose, auf gegenseitigem Vertrauen
beruhende "`Web of Trust"' von GnuPG. Der Kern der
Beglaubigung selbst ist allerdings völlig identisch: Gpg4win
unterstützt neben dem "`Web of Trust"' (OpenPGP) zusätzlich auch 
eine hierarchische Zertifizierungsstruktur (S/MIME). Demnach
bietet Gpg4win eine Grundlage um dem strengen Signaturgesetz der
Bundesrepublik Deutschland zu entsprechen.


Wenn Sie sich weiter für dieses Thema interessieren, dann
können Sie sich z.B. bei folgenden Webadressen 
über dieses und viele andere IT-Sicherheits-Themen informieren:
\begin{itemize}
    \item \uniurl[www.bsi.de]{http://www.bsi.de} des BSIs,
    \item \uniurl[www.bsi-fuer-buerger.de]{http://www.bsi-fuer-buerger.de})
    \item \uniurl[www.gpg4win.de]{http://www.bsi.de}
\end{itemize}

Eine weitere exzellente, mehr technische Informationsquelle zum Thema
der Beglaubigungsinfrastrukturen bietet das 
\uniurl[Original GnuPG Handbuch]{http://www.gnupg.org/gph/de/manual},
das Sie ebenfalls im Internet finden%
\T\linebreak(\uniurl[www.gnupg.org/gph/de/manual]{http://www.gnupg.org/gph/de/manual})
.



\clearpage
%% Original page 43
\xname{dateianhaenge-verschluesseln}
\chapter{Dateianhänge verschlüsseln}

Wenn Sie eine verschlüsselte \Email{} versenden und
Dateien anhängen, so wollen Sie in der Regel sicherlich auch, dass
die Anhänge verschüsselt werden.

Bei einer komfortablen Integration von GnuPG in Ihr \Email{}-Programm
sollten Anhänge genauso behandelt werden wie der eigentlichen
Text Ihrer \Email{}, also signiert, verschlüsselt oder beides zusammen.

\textit{GpgOL übernimmt die Verschlüsselung und Signierung von
Anhängen automatisch.}

Bei weniger komfortabel in einem \Email{}-Programm integrierten
Verschlüsselungswerkzeug müssen Sie aufpassen: Die
Anhänge werden oft unverschlüsselte mitgesendet.

Was kann man in so einem Fall tun?
Ganz einfach: Sie verschlüsseln den Anhang getrennt und hängen ihn
dann in verschlüsseltem Zustand an die \Email{} an.
Es läuft also auf ein ganz gewöhnliches Verschlüsseln von Dateien
hinaus, das in Kapitel~\ref{ch:EncFiles} beschrieben ist.


\clearpage
\xname{signera-och-kryptera-data}
\chapter{Signera och kryptera data}
\label{ch:EncFiles}

Nicht nur \Email{}s, sondern auch einzelne Dateien können Sie mit
Gpg4win signieren und verschlüsseln. Das Prinzip ist das gleiche: 

\begin{itemize}
    \item Sie \textbf{signieren} eine Datei mit Hilfe Ihres
        Zertifikats, um sicherzugehen, dass die
      Datei unverändert bei Ihrem Empfänger ankommt.

  \item Sie \textbf{verschlüsseln} eine Datei mit Hilfe des Zertifikat des Empfängers, um
        die Datei vor unbefugten Personen geheim zu halten.
\end{itemize}



Mit der Anwendung \textbf{GpgEX} können Sie Dateien ganz einfach aus
Ihrem Windows Explorer heraus signieren oder verschlüsseln -- egal ob
OpenPGP oder S/MIME.
Dieses Kapitel erläutert Ihnen, wie das genau funktioniert.

Sollten Sie eine Datei als \Email{}-Anhang verschicken, übernimmt z.B. GpgOL
automatisch die Signierung bzw. Verschlüsselung der Datei zusammen mit
Ihrer \Email{}.
Sie brauchen sich in diesem Fall nicht gesondert darum kümmern.


\clearpage
%% Original page 41
\section{Dateien signieren und überprüfen}
\label{sec_signFile}

Beim Signieren einer Datei kommt es nicht vorrangig auf die
Geheimhaltung, sondern auf die Unverändertheit (Integrität) der Datei an.

Die Signierung können Sie bequem mit \textbf{GpgEX} aus dem Kontextmenü des
Windows Explorer ausführen. Selektieren Sie eine Datei und öffnen Sie 
mit der rechten Maustaste das Kontextmenü:

% TODO screenshot GpgEX contextmenu sign/encrypt
\begin{center}
\IncludeImage[width=0.25\textwidth]{sc-gpgex-contextmenu-signEncrypt_de}
\end{center}

Dort wählen Sie \Menu{Verschlüsseln und Signieren} aus.

\clearpage
Selektieren Sie im erscheinenden Fenster die Option \Menu{Nur
siegnieren}:

%TODO screenshot GpgEX sign file, step 1
\begin{center}
\IncludeImage[width=0.7\textwidth]{sc-kleopatra-signFile1_de}
\end{center}


Der darunter liegende Rahmen \Menu{Verschlüsselungseinstellungen}
wird dadurch ausgegraut, da sie ja lediglich signieren möchten.

Im letzten Abschnitt \Menu{Signatur-Zertifikate} wählen Sie -- sofern nicht
schon vorausgewählt -- Ihr (OpenPGP oder S/MIME) Zertifikat aus, mit dem Sie die
Datei signieren möchten.

Klicken Sie nun auf \Button{Weiter}.

\clearpage
Nun haben Sie die Möglichkeit, die Auswahl der zu bearbeitenden Dateien
zu bestätigen und ggf. die Auswahl zu korrigieren.

%TODO screenshot GpgEX sign/encrypt file, step 2: choose object
\begin{center}
\IncludeImage[width=0.7\textwidth]{sc-kleopatra-signEncryptFile2_de}
\end{center}

Bestätigen Sie Ihre Auswahl mit \Button{Weiter}.

Sie müssen nun Ihre Passphrase in den aufkommenden Pinentry-Dialog eingeben.

\clearpage
Nach erfolgreicher Signierung erhalten Sie folgendes Fenster:

%TODO screenshot GpgEX sign file, step 3: finish
\begin{center}
\IncludeImage[width=0.7\textwidth]{sc-kleopatra-signFile3_de}
\end{center}

Sie haben damit Ihre Datei erfolgreich signiert.

Abhängig davon, ob Sie OpenPGP oder S/MIME zum Signieren genutzt
haben, erhalten Sie als Ergebnis eine Datei mit der Endung
\textit{.sig} (bei OpenPGP) oder \textit{.p7s} (bei S/MIME).

Beim Signieren einer Datei wird stets eine "`abgetrennte"' (separate) Signatur
verwendet. Dies bedeutet, dass Ihre zu signierende Datei unverändert bleibt 
und eine zweite Datei mit der eigentlichen Signatur erzeugt wird.
Um die Signatur später zu überprüfen, sind beide Dateien notwendig.

Folgendes Beispiel zeigt noch einmal, welche neue Datei Sie erhalten,
wenn Sie Ihre ausgewählte Datei (hier \texttt{<dateiname>.txt}) mit OpenPGP
bzw. S/MIME signieren:

\begin{description}
    \item[OpenPGP:]~\\
        \texttt{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.sig}}
    \item[S/MIME:]~\\
        \texttt{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.p7s}}
\end{description}


\clearpage
\subsubsection{Signatur überprüfen}
Wir wollen nun überprüfen, ob die eben signierte Datei integer
(inkorrekt) ist.


Zum Überprüfen der Unverändertheit (Integrität) und der Authentizität
müssen die Signatur-Datei und die signierte Datei
(Originaldatei) in dem selben
Dateiordner liegen. Selektieren Sie die Signatur-Datei -- also die mit der
Endung \textit{.sig} oder \textit{.p7s} -- und wählen Sie aus dem Kontextmenü des Windows Explorer
den Eintrag  \Menu{Entschlüsseln und überprüfen}:

% TODO screenshot GpgEX contextmenu verifiy/decrypt
\begin{center}
\IncludeImage[width=0.25\textwidth]{sc-gpgex-contextmenu-verifyDecrypt_de}
\end{center}

\clearpage
Daraufhin erhalten Sie folgendes Fenster:
% TODO screenshot kleopatra verify file, step 1
\begin{center}
\IncludeImage[width=0.7\textwidth]{sc-kleopatra-verifyFile1_de}
\end{center}
Kleopatra zeigt unter \textit{Eingabe-Datei} den vollständigen 
Pfad zur ausgewählten Signatur-Datei an.

Die Option \Menu{Eingabe-Datei ist eine angehängte Signatur} ist
aktiviert, da Sie ja Ihre Originaldatei
(hier: \textit{signierte Datei}) mit der Eingabe-Datei signiert haben.
Kleopatra findet automatisch die zugehörige signierte
Originaldatei.

Automatisch ist auch der \textit{Ausgabe-Ordner} auf den gleichen
Pfad ausgewählt.
Der wird aber erst relevant wenn Sie mehr als eine Datei gleichzeitig
verarbeiten.

Bestätigen Sie die gegebenen Operationen mit
\Button{Entschlüsseln/überprüfen}.

\clearpage
Nach erfolgreicher Überprüfung der Signatur erhalten Sie folgendes
Fenster:

% TODO screenshot kleopatra verify file, step 2
\begin{center}
\IncludeImage[width=0.7\textwidth]{sc-kleopatra-verifyFile2_de}
\end{center}

Das Ergebnis zeigt, dass die Signatur valide ist --
also die Datei \textbf{nicht} verändert wurde.  Selbst wenn nur ein Zeichen
hinzugefügt, gelöscht oder geändert wurde, wird die Signatur als
gebrochen angezeigt.

% TODO: hier ein Screenshot wie es aussueht, wenn die Datei kompromittiert wurde (rot)

\clearpage
\section{Dateien verschlüsseln und entschlüsseln}

Genauso wie \Email{}s lassen sich Dateien nicht nur signieren, sondern auch
verschlüsseln. Das sollten Sie im folgenden Abschnitt mit GpgEX und
Kleopatra einmal durchspielen.

Selektieren Sie eine Datei und öffenen Sie mit der rechten Maustaste
das Kontextmenü:

% TODO screenshot GpgEX contextmenu sign/encrypt
\begin{center}
\IncludeImage[width=0.25\textwidth]{sc-gpgex-contextmenu-signEncrypt_de}
\end{center}

Wählen Sie hier \Menu{Verschlüsseln und Signieren} aus.

\clearpage
Sie erhalten den Dialog, den Sie vom Signieren einer Datei (vgl.
Abschnitt~\ref{sec_signFile}) schon kennen.

Entscheiden Sie sich im oberen Feld für die Option \Menu{Nur
Verschlüsseln}:

% TODO screenshot kleopatra encrypt file, step 1
\begin{center}
\IncludeImage[width=0.7\textwidth]{sc-kleopatra-encryptFile1_de}
\end{center}

Die Verschlüsselungseinstellungen sollten Sie nur bei Bedarf
umstellen:
\begin{description}
    \item[Ausgabe als Text (ASCII-Mantel):] Bei Aktivierung dieser
        Option erhalten Sie die verschlüsselte Datei mit der
        Dateiendung \textit{.asc} (OpenPGP) bzw. \textit{.pem} (S/MIME). 
        Diese Dateitypen sind mit jedem Texteditor lesbar -- Sie würden dort
        den Buchstaben- und Ziffernsalat sehen, den Sie schon kennen.

        Ist diese Option nicht ausgewählt (Voreinstellung), so wird
        eine verschlüsselte Datei mit der Endung \textit{.gpg}
        (OpenPGP) bzw. \textit{.p7m} (S/MIME) angelegt. Diese Dateien
        sind Binärdateien -- eine Betrachtung im Texteditor ist also
        sinnlos.

        Was Sie hier benutzen ist eigentlich gleichgültig;
        Gpg4win kommt mit beiden Arten klar.

    \item[Unverschlüsseltes Original anschließend löschen:] Ist diese
        Option aktiviert, wird Ihre ausgewählte Originaldatei nach dem
        Verschlüsseln gelöscht.
\end{description}


Tryck på \Button{Nästa}.

\clearpage
Nun haben Sie wieder die Möglichkeit, die Auswahl zu bestätigen oder
zu korrigieren:

% TODO screenshot kleopatra sign/encrypt file, step 2
\begin{center}
\IncludeImage[width=0.7\textwidth]{sc-kleopatra-signEncryptFile2_de}
\end{center}

Bestätigen Sie mit \Button{Weiter}.


\clearpage
An wen soll die Datei verschlüsselt werden? Wählen Sie im folgenden
Dialog einen oder mehrere Empfänger aus:
% TODO screenshot kleopatra encrypt file, step 3
\begin{center}
\IncludeImage[width=0.7\textwidth]{sc-kleopatra-encryptFile3_de}
\end{center}

Klicken Sie dazu auf \Button{Empfänger hinzufügen...} und wählen aus
Ihrer Zertifikatsliste den oder die Empfänger aus. Abhängig vom
gewählten Empfänger-Zertifikat und deren Typ (OpenPGP oder S/MIME) wird Ihre
Datei anschließend für OpenPGP und/oder S/MIME verschlüsselt. Haben
Sie also ein OpenPGP-Zertifikat \textbf{und} ein S/MIME-Zertifikat ausgewählt,
werden Sie zwei verschlüsselte Dateien erhalten.
Die möglichen Dateitypen der verschlüsselten Dateien finden Sie auf der nächsten Seite.

Klicken Sie nun auf \Button{Weiter}, um Ihre Datei zu verschlüsseln.

\clearpage
Nach erfolgreicher Verschlüsselung sollte Ihr Ergebnisfenster etwa so
aussehen:
% TODO screenshot kleopatra encrypt file, step 4
\begin{center}
\IncludeImage[width=0.7\textwidth]{sc-kleopatra-encryptFile4_de}
\end{center}

Das war's! Sie haben Ihre Datei erfolgreich verschlüsselt!

Wie beim Signieren einer Datei hängt das Ergebnis von der gewählten
Verschlüsselungsmethode (OpenPGP oder S/MIME) ab.

Beim Verschlüsseln Ihrer Originaldatei (hier \texttt{<dateiname>.txt})
sind insgesamt vier Dateitypen als Ergebnis möglich:

\begin{description}
    \item[OpenPGP:]~\\
    \texttt{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.gpg}}\\
    \texttt{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.asc}}
    ~ \small (bei Ausgabe als Text/ASCII-Mantel)
    \normalsize

    \item[S/MIME:]~\\
    \texttt{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.p7m}}\\
    \texttt{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.pem}}
    ~ \small{ (bei Ausgabe als Text/ASCII-Mantel)}
    \normalsize
\end{description}

Eine der vier verschlüsselten Ergebnisdateien geben Sie nun an Ihren ausgewählten
Empfänger weiter. Anders als beim Signieren einer Datei wird die
unverschlüsselte Originaldatei natürlich \textbf{nicht} weitergegeben.

\clearpage
\subsubsection{Datei entschlüsseln}
Nun kann die zuvor verschlüsselte Datei zum Testen einmal
entschlüsseln werden.

Dazu sollten Sie vorher beim Verschlüsseln auch an Ihr eigenes Zertifikat
verschlüsselt haben -- andernfalls können Sie die Datei nicht mit
Ihrer Passphrase entschlüsseln (vgl. Kapitel~\ref{ch:archive}).

Selektieren Sie die verschlüsselte Datei -- also die mit der
Endung \textit{.gpg}, \textit{.asc}, \textit{.p7m} oder \textit{.pem} -- 
und wählen Sie aus dem Kontextmenü des Windows Explorer
den Eintrag \Menu{Entschlüsseln und überprüfen}:

% TODO screenshot GpgEX contextmenu verifiy/decrypt
\begin{center}
\IncludeImage[width=0.25\textwidth]{sc-gpgex-contextmenu-verifyDecrypt_de}
\end{center}


\clearpage
Im folgenden Entschlüsselungsdialog können Sie, bei Bedarf, noch den
Ausgabe-Ordner verändern.

% TODO screenshot kleopatra decrypt file, step 1
\begin{center}
\IncludeImage[width=0.7\textwidth]{sc-kleopatra-decryptFile1_de}
\end{center}

Klicken Sie auf \Button{Entschlüsseln/überprüfen}.

Geben Sie anschließend Ihre Passphrase ein.


\clearpage
Das Ergebnis zeigt, dass die Entschlüsselung erfolgreich war:

% TODO screenshot kleopatra decrypt file, step 2
\begin{center}
\IncludeImage[width=0.7\textwidth]{sc-kleopatra-decryptFile2_de}
\end{center}

Sie sollten nun die entschlüsselte Datei problemlos lesen
oder mit einem entsprechenden Programm verwenden können.

\clearpage
\subsubsection{Kurz zusammengefasst}
Sie haben gelernt, wie Sie mit GpgEX:
\begin{itemize}
    \item Dateien signieren,
    \item signierte Dateien überprüfen,
    \item Dateien verschlüsseln und
    \item verschlüsselte Dateien entschlüsseln
\end{itemize}
 können.

\subsubsection{Gleichzeitig signieren und verschlüsseln}

Ihnen ist diese Option bestimmt schon in den entsprechenden
Dialogen aufgefallen.
Wählen Sie sie aus, dann kombiniert GpgEX beide Aufgaben in einem
Schritt.

Bechten Sie, dass immer {\em zuerst signiert} erst danach verschlüsselt
wird.

Die Signatur wird also immer als geheim mitverschlüsselt.
Sie kann nur von denjenigen gesehen und geprüft werden,
die die Datei erfolgreich entschlüsseln konnten.

Möchten Sie Dateien signieren \textit{und} verschlüsseln ist das
derzeit nur mit OpenPGP möglich.



\clearpage
%% Original page 45
\xname{im-och-export-av-privata-nycklar}
\chapter{Im- och export av privata nycklar}
\label{ch:ImExport}

In den Kapiteln \ref{ch:publishCertificate} und
\ref{ch:importCertificate}
wurde der Im- und Export von Zertifikaten erläutert. Sie haben
Ihr eigenes Zertifikat exportiert, um es zu veröffentlichen, 
und das Zertifikat Ihres Korrespondenzpartners importiert 
und am "`Schlüsselbund"' befestigt.

Dabei ging es stets um den \textit{öffentlichen} Schlüssel. Es gibt aber auch
hin und wieder die Notwendigkeit, einen \textit{geheimen} Schlüssel zu im- oder
exportieren. Wenn Sie z.B. ein bereits vorhandenes 
(OpenPGP oder S/MIME) Schlüsselpaar mit Gpg4win weiterbenutzen wollen,
müssen Sie es importieren. Oder wenn Sie Gpg4win von einem anderen Rechner aus
benutzen wollen, muss ebenfalls zunächst das gesamte Schlüsselpaar dorthin
transferiert werden --~der öffentliche und der private Schlüssel.


%% Original page 46
\clearpage
\section{Export}
Immer wenn Sie einen geheimen Schlüssel auf einen anderen Rechner
transferieren oder auf einer anderen Festplattenpartition bzw. einem
Sicherungsmedium speichern wollen, müssen Sie mit Kleopatra eine
Sicherungskopie erstellen.

So eine Sicherungskopie haben Sie evtl. schon einmal am Ende Ihrer
OpenPGP-Zertifikatserzeugung angelegt. Da Ihr OpenPGP-Zertifikat aber inzwischen weitere
Beglaubigungen haben kann, sollte Sie die Sicherung erneut durchführen.


Öffnen Sie Kleopatra. Selektieren Sie Ihr eigenes Zertifikat und
klicken Sie auf \Menu{Datei$\rightarrow$Geheimen Schlüssel
exportieren}.

% TODO screenshot kleopatra export secret key
\begin{center}
\IncludeImage[width=0.45\textwidth]{sc-kleopatra-openpgp-exportSecretKey_de}
\end{center}

Wählen Sie den Pfad und den Dateinamen der Ausgabedatei.
Der Dateityp wird automatisch gesetzt. Abhängig davon ob Sie einen
geheimen OpenPGP- oder S/MIME-Schlüssel exportieren wollen, ist
standardmäßig die Dateiendung \textit{.gpg} (OpenPGP) oder \textit{.der} (S/MIME)
ausgewählt. Bei diesen Dateien handelt es sich um Binärdateien -- eine Betrachtung im
Texteditor ist hier also sinnlos, aber möglich (probieren Sie es aus).

Bei Aktivierung der Option \Menu{ASCII-Mantel}
erhalten Sie die Dateiendung 
\textit{.asc} (OpenPGP) bzw. \textit{.pem} (S/MIME).
Auch diese beiden Dateitypen sind mit jedem Texteditor lesbar -- Sie würden dort
den üblichen Buchstaben- und Ziffernsalat sehen.
Ob Sie diese Option nutzen oder nicht, ist eigentlich gleichgültig;
Gpg4win kommt mit beiden Varianten klar.

Beide Schlüsselteile -- der öffentliche und der geheime -- werden von
Kleopatra in diesem \textbf{einen} geheimen Zertifikat abgespeichert.

\textbf{Achtung:} Behandeln Sie diese Datei sehr sorgfältig. Sie enthält Ihren
geheimen Schlüssel und damit sicherheitskritische Informationen!

\clearpage
\section{Import}
Zum Importieren Ihres vorher exportierten geheimen Zertifikats
in Kleopatra, gehen Sie so vor, wie Sie es beim
Importieren von öffentlichen (fremden) Zertifikaten gewohnt sind 
(vgl. Kapitel~\ref{ch:importCertificate}):

Klicken Sie auf \Menu{Datei$\rightarrow$Zertifikat importieren...} und
wählen Sie die zu importierende Datei aus.
Handelt es sich um eine PKCS12-Datei (z.B. vom Typ \textit{.p12}), so werden
Sie zunächst nach der Passphrase zum Entsprerren des privaten Schlüssels
gefragt:
% ggf TODO screenshot pinentry p12 import (I)
\begin{center}
\IncludeImage[width=0.45\textwidth]{sc-pinentry-p12-import-a_de}
\end{center}

Setzen Sie nun eine (ggf. neue) Passphrase, die nach dem Importvorgang Ihrem privaten
Schlüssel zugeordnet werden soll:
% ggf TODO screenshot pinentry p12 import (II)
\begin{center}
\IncludeImage[width=0.45\textwidth]{sc-pinentry-p12-import-b_de}
\end{center}

Wiederholen Sie Ihre Passphrase-Eingabe.
Sollte Ihre Passphrase zu kurz sein oder nur aus Buchstaben bestehen,
werden Sie entsprechend gewarnt.

\clearpage
Nach dem erfolgreichen Importieren sehen Sie ein Informationsfenster,
das Ihnen die Ergebnisse des
Importvorgangs auflistet; hier am Beispiel eines geheimen
OpenPGP-Zertifikats:
% TODO screenshot kleopatra import secret key - status
\begin{center}
\IncludeImage[width=0.45\textwidth]{sc-kleopatra-import-openpgp-secret-key_de}
\end{center}

Kleopatra hat damit sowohl den geheimen als auch den
öffentlichen Schlüssel aus der Sicherungsdatei importiert. Ihr
Zertifikat ist damit unter "`Meine Zertifikate"' in der
Zertifikatsverwaltung von Kleopatra sichtbar.

\textit{\textbf{Achtung:} Löschen Sie danach unbedingt die oben erstellte
Sicherungskopie Ihres geheimen Schlüssels von Ihrer Festplatte und
sichern Sie vorher diese wichtige Datei möglicht irgendwo auf einem externen Medium.
Denken Sie daran die gelöschte Datei aus Ihrem "`Papierkorb"' zu
entfernen. Andernfalls stellt diese Datei ein Sicherheitsrisiko für
Ihre geheime \Email{}-Verschlüsselung dar!}

\textit{Anmerkung:} Es kann in einigen Fällen vorkommen, dass Sie einen importierten
Schlüssel nicht direkt benutzen können.  Dies äußert sich darin, dass
Sie die richtige Passphrase eingeben, dieser aber nicht akzeptiert
wird.  Das kommt daher, dass einige Versionen von PGP intern den
IDEA Algorithmus verwenden.  Dieser kann von GnuPG aus rechtlichen
Gründen nicht unterstützt werden.  Um das Problem zu beheben,
ändern Sie in PGP einfach die Passphrase und
exportieren/importieren Sie den Schlüssel erneut.  Sollte dies auch
nicht funktionieren, so setzen Sie die Passphrase in PGP auf
"`leer"'; d.h. auf keinen Schutz und exportieren/importieren Sie wieder
-- In diesem Fall müssen Sie unbedingt sicherstellen, sowohl die
\textbf{Datei sicher zu löschen als auch in PGP und in Gpg4win danach wieder
  eine echte Passphrase zu setzen.}

~\\
\textbf{Herzlichen Glückwunsch! Sie haben damit erfolgreich Ihr Schlüsselpaar exportiert und
wieder importiert.}


\clearpage
\xname{systemweite-konfiguration-und-vorbelegungen-fuer-smime}
\chapter{Systemweite Konfigurationen und Vorbelegungen für S/MIME}
\T\margin{\IncludeImage[width=1.5cm]{smime-icon}}

Im Rahmen von Softwareverteilung oder sonstigen Umgebungen
in denen viele Anwender auf einem Rechner arbeiten,
ist es sinnvoll einige systemweite Vorgaben und Vorberlegungen
für Gpg4win einzurichten.

Das betrifft vor allem S/MIME, denn bei streng vorgegebenen
Vertrauensketten macht es Sinn dass die Anwender die Informationen
dazu miteinander Teilen.

Einige typische systemweite Einstellungen sind:

\begin{itemize}
\item Vertrauenswürdige Wurzelzertifikate

    Um zu vermeiden, dass jeder Anwender selbst die notwendigen
    Wurzelzertifikate suchen und installieren sowie deren Vertrauenswürdigkeit
    prüfen und bestätigen (beglaubigen) muss, ist eine systemweite Vorbelegung der
    wichtigsten Wurzelzertifikate sinnvoll.

    Dafür sind folgende Schritte durchzuführen:
    \begin{enumerate}
    \item Die Wurzelzertifkate ablegen wie unter Abschnitt \ref{trustedrootcertsdirmngr}
    beschrieben.
    \item Die vertrauenswürdigen Wurzelzertifikate definieren wie unter
        Abschnitt \ref{sec_systemtrustedrootcerts}
    beschrieben.
    \end{enumerate}

\item Direkt verfügbare CA-Zertifkate

    Um den Anwendern zusätzlich die Mühe zu ersparen, die Zertifkate der Zertifizierungsstellen
    (Certificate Authorities, CAs) zu suchen und zu importieren, ist auch hier
    eine systemweite Vorbelegung der wichtigsten CA-Zertifkate sinnvoll.

    Folgen Sie dazu der Beschreibung unter Abschnitt
    \ref{extracertsdirmngr}.


\item Proxy für Zertifikatsserver-Suche
    %TODO#: Proxy für OpenPGP-Zertifikatsserver - Syntax beschreiben.

    Es kommt vor, dass interne Netzwerke keine direkten Verbindungen der einzelnen
    Rechner nach aussen zulassen, sondern einen sogenannten Proxy vorsehen.

    Ist dies in Ihrem Netzwerk auch für die bei GnuPG bzw. S/MIME wichtigen
    LDAP-Abfragen der Fall, so führen Sie folgende Schritte durch:

    \begin{enumerate}
    \item Stellen Sie X.509-Zertifikatsserver-Suchen auf Ihren Proxy wie unter Abschnitt
        \ref{ldapservers} ein.
    \item Stellen Sie Sperrlisten-Suchen auf Ihren Proxy ein, in dem Sie einen Eintrag
        wie z.B.:
        \small
        \verb@http-proxy http://proxy.mydomain.example:8080@\\
        \normalsize
        (ggf. analog für LDAP) als Administrator in die Datei\newline
        \small
        \Filename{C:\back{}Dokumente und Einstellungen\back{}All
        Users\back{}GNU\back{}etc\back{}dirmngr\back{}\\ dirmngr.conf}\newline
        \normalsize
        eintragen.
    \item Starten Sie den DirMngr neu (siehe Abschnitt \ref{dirmngr-restart}).
\end{enumerate}
\end{itemize}



\clearpage
\xname{bekannte-probleme-und-was-man-tun-kann}
\chapter{Bekannte Probleme und was man tun kann}

\section{GpgOL Menüs und Dialoge nicht mehr in Outlook zu finden}

Es kann vorkommen, dass trotz Aktualisierung von Gpg4win
die von GpgOL zu Outlook hinzugefügten Menüs und Dialoge nicht mehr zu finden sind.

Das kann dann vorkommen, wenn ein technisches Problem auftrat
und Outlook aus diesem Grund die GpgOL-Komponente deaktiviert.

Reaktivieren Sie GpgOL über das Outlook-Menü:\\
Outlook2007: \Menu{?$\rightarrow$Deaktivierte Elemente}\\
Outlook2003: \Menu{?$\rightarrow$Info$\rightarrow$Deaktivierte Elemente}

Um unter Outlook2003 GpgOL manuell zu (de-)aktivieren nutzen Sie den Add-In-Manager von
Outlook:
\Menu{Extras$\rightarrow$Optionen$\rightarrow$Weitere$\rightarrow$Erweiterte
Optionen...$\rightarrow$Add-In-Manger...}


\section{GpgOL-Schaltflächen sind in Outlook2003 nicht in der Symbolleiste}

Wenn bereits viele Schaltflächen in der Symbolleiste des Nachrichtenfensters
vorhanden sind, so stellt Outlook2003 die
Signieren/Verschlüsseln-Icons von GpgOL nicht unbedingt sofort sichtbar dar.

Sie können diese Schaltflächen aber anzeigen lassen,
indem Sie in der Symbolleiste auf das kleine Icon mit dem Pfeil nach
unten klicken (\textit{Optionen für Symbolleiste}):  Sie erhalten
eine Übersicht aller nicht angezeigten Schaltflächen. Ein Klick auf
eines dieser Einträge verschiebt ihn in den sichtbaren Teil der Symbolleiste.


\section{GpgOL-Schaltflächen sind in Outlook2007 unter "`Add-Ins"'}

Mit Outlook2007 wurde die sogenannte \textit{Ribbon}-Oberfläche
eingeführt. Diese Multifunktionsleiste im Outlook-Nachrichtenfenster
besitzt verschiedene Registerkarten.
Die GpgOL-Schaltflächen (für Verschlüssln, Signieren etc.) sind
unter der Registerkarte "`Add-Ins"' eingeordnet; so wie alle
Schaltflächen von Erweiterungen durch Outlook dort angelegt werden. 
Eine Integration der GpgOL-Schaltflächen z.B. unter "`Nachrichten"' 
ist nicht möglich.

Was Sie machen können, ist Ihre \textit{Symbolleiste für den
Schnellzugriff} anzupassen und die Symbolleistenbefehle der Add-In-Registerkarte 
aufnehmen.


\section{Fehler beim Start von GpgOL}

Haben Sie Gpg4win (und damit die Programmkomponente GpgOL) auf einem Laufwerk
installiert, anschließend wieder deinstalliert und unter einem anderen
Laufwerk erneut installiert? Dann kann es sein, dass Outlook weiterhin den GpgOL-Pfad
auf dem ersten (alten) Laufwerk sucht.

Dabei wird beim Start von Outlook die Programmerweiterung GpgOL nicht mehr
gestartet und folgende Fehlermeldung erscheint:

\textit{Die Erweiterung '\Filename{<alter-Pfad-zu-gpgol.dll>}' konnte nicht installiert oder
geladen werden. Das Problem kann u.U. durch das Benutzen von 'Erkennen
und Reparieren' in der Hilfe behoben werden.}

Lösen können Sie dieses Problem, in dem Sie den Outlook-internen
(zwischengespeicherten) Programmerweiterungs-Pfad zurücksetzen.
Löschen Sie dazu bitte folgende Datei:\\
\Filename{\%APPDATA\%\back{}Lokale
Einstellungen\back{}Anwendungsdaten\back{}Microsoft\back{}Outlook\back{}\T\\ 
extend.dat}

Dabei sollte Outlook natürlich nicht laufen. Anschließend starten Sie
Outlook erneut. Outlook und GpgOL sollte nun problemlos starten.

Beachten Sie bitte auch, dass eine Installation von Gpg4win auf einem
(mit dem Befehl \texttt{subst} simulierten) \textbf{virtuellen
Laufwerk} nicht
möglich ist. Diese virtuellen Laufwerke sind nur lokal für den
aktuellen Benutzer nutzbar. Systemdienste (wie der \textit{DirMngr})
sehen diese Laufwerke nicht. Der Installationspfad ist damit ungültig
- die Installation stoppt mit einem Fehler in der Art \textit{error:StartService: ec=3}.
Installieren Sie bitte Gpg4win auf einem systemweit verfügbaren Laufwerk.


\section{GpgOL überprüft keine inlinePGP \Email{}s von \textit{CryptoEx}}

Um signierte bzw. verschlüsselte inlinePGP \Email{}s, die von
\textit{CryptoEx} versandt wurden, zu überprüfen bzw. zu
entschlüsseln, muss in den GpgOL-Optionen die S/MIME-Unterstützung
eingeschaltet sein.

Aktivieren Sie dazu in Outlook unter
\Menu{Extras$\rightarrow$Optionen$\rightarrow$GpgOL} die Option:\\
\textit{S/MIME Unterstützung einschalten}.


\section{Keine S/MIME Operationen mehr möglich (Systemdienst ,,DirMngr'' läuft nicht)}
\label{dirmngr-restart}
\T\margin{\IncludeImage[width=1.5cm]{smime-icon}}

Der \textit{Directory Manager} (\textit{DirMngr}) ist ein über 
Gpg4win installierter Dienst, der die Zugriffe auf Zertifikatsserver
verwaltet. Eine Aufgabe des "`DirMngr"' ist das Laden
von Sperrlisten (CRLs) für S/MIME Zertifikate.

Es kann vorkommen, dass die S/MIME Operationen (Signatur, Prüfung,
Ver- oder Entschlüsselung) nicht durchgeführt werden können, weil
,,DirMngr'' nicht verfügbar ist. In der Voreinstellung von Gpg4win
ist es zwingend notwendig, dass ,,DirMngr'' die Sperrliste prüft,
geschieht das nicht, darf die jeweilige Operation nicht ausgeführt
werden, da möglicherweise ein kompromittiertes Zertifkat genutzt wird.

Abhilfe schaffe ein Neustart des ,,DirMngr'' durch den
Systemadministrator.
Dies erfolgt über \linebreak
\Menu{Systemsteuerung$\rightarrow$Verwaltung$\rightarrow$Dienste}.
In der Liste finden Sie ,,DirMngr'' --
über das Kontextmenü kann der Dienst neu gestartet werden.



\clearpage
\xname{var-hittar-jag-datan-och-installningarna-for-gpg4win}
\chapter{Var hittar jag datan och inställningarna för Gpg4win?}

\section{Användarens personliga inställningar}

Die persönlichen Einstellungen für jeden Anwender befinden sich
im Dateiordner \Filename{\%APPDATA\%\back{}gnupg}. Oft entspricht das dem
Dateiordner: \newline
\Filename{C:\back{}Dokumente und Einstellungen\back{}\textit{<name>}\back{}Anwendungsdaten\back{}gnupg\back{}}

Beachten Sie, dass es sich um einen versteckten Dateiordner handelt.
Um es sichtbar zu schalten, müssen Sie im Explorer über das Menü
\Menu{Extras$\rightarrow$Ordneroptionen}
im Reiter \Menu{Ansicht} die Option \Menu{Alle Dateien und Ordner
anzeigen} unter der Rubrik \Menu{Versteckte Dateien und Ordner} aktivieren.

In diesem Dateiordner befinden sich sämtliche persönlichen
GnuPG-Daten,
also die persönlichen Schlüssel, Zertifikate, Vertrauensstellungen und
Konfigurationen. Bei einer Deinstallation von Gpg4win wird dieser
Ordner \textit{nicht} gelöscht. Denken Sie daran, sich regelmäßig
Sicherheitskopien von diesem Ordner anzulegen.


\section{Zwischengespeicherte Sperrlisten}
\T\margin{\IncludeImage[width=1.5cm]{smime-icon}}

Der systemweite Dienst ,,DirMngr'' (Directory Manager) prüft unter anderem, ob
ein X.509-Zertifkat gesperrt ist und daher nicht verwendet werden darf.
Dafür werden Sperrlisten (CRLs) von den Ausgabestellen der Zertifikate
(,,Trust-Center'') abgeholt und für die Dauer ihrer Gültigkeit
zwischengespeichert.

Abgelegt werden diese Sperrlisten unter:\newline
\Filename{C:\back{}Dokumente und Einstellungen\back{}LocalService\back{}Lokale\T\newline
Einstellungen\back{}Anwendungsdaten\back{}GNU\back{}cache\back{}dirmngr\back{}crls.d\back{}}

Hierbei handelt es sich um \textit{geschützte} Dateien,
die standardmäßig vom Explorer nicht angezeigt werden. Sollten Sie
dennoch die Anzeige dieser Dateien wünschen, deaktivieren Sie die
Option \Menu{Geschützte Systemdateien ausblenden} in den
\textit{Ansicht}-Einstellungen des Windows Explorer.

In diesem Dateiordner sollten keine Änderungen vorgenommen werden.

\section{Vertrauenswürdige Wurzelzertifikate von DirMngr}
\label{trustedrootcertsdirmngr}
\T\margin{\IncludeImage[width=1.5cm]{smime-icon}}

Für eine vollständige Prüfung von X.509-Zertifkaten
muss auch den Wurzelzertifkaten vertraut werden, mit deren
Hilfe die Sperrlisten signiert wurden.

Die Wurzelzertifkate, denen der DirMngr bei den
Prüfungen vertrauen soll, müssen im folgenden Dateiordner abgelegt
werden:

\Filename{C:\back{}Dokumente und Einstellungen\back{}All
Users\back{}Anwendungsdaten\back{}GNU\back{}\T\newline
etc\back{}dirmngr\back{}trusted-certs\back{}}

\W~\\\\
\textbf{Wichtig:} Die entsprechenden Wurzelzertifikate müssen 
als Dateien im Dateiformat \textit{DER} mit Dateinamens-Erweiterung
\textit{.crt} oder \textit{.der}
im o.g. Dateiordners vorliegen.

Der DirMngr läuft als systemweiter Dienst und muss nach Änderungen im
"`trusted-certs"'-Dateiordner neu gestartet werden. Anschließend
sind die dort abgelegten Wurzelzertifikate für alle Anwender als
\textit{vertrauenswürdig} gesetzt.


Beachten Sie auch Abschnitt \ref{sec_systemtrustedrootcerts}, um den
Wurzelzertifikaten vollständig (systemweit) zu vertrauen.


\section{Weitere Zertifikate von DirMngr \label{extracertsdirmngr}}
\T\margin{\IncludeImage[width=1.5cm]{smime-icon}}

Wenn vor einer Krypto-Operation die X.509-Zertifizierungskette zu
prüfen ist, ist somit auch das jeweiliges Zertifkat der Zertifizierungsstelle
("`Certificate Authority"', CA) zu prüfen.

Für eine direkte Verfügbarkeit können CA-Zertifikate in diesem (systemweiten) 
Dateiordner abgelegt werden:\newline
\Filename{C:\back{}Dokumente und Einstellungen\back{}All 
Users\back{}Anwendungsdaten\back{}GNU\back{}\T\newline 
lib\back{}dirmngr\back{}extra-certs\back{}}

Zertifkate, die nicht hier oder bei den Anwendern vorliegen, müssen
entweder automatisch von X.509-Zertifikatsservern geladen werden.
Alternativ können Zertifikate auch immer manuell importiert werden.

Es ist also sinnvoll im Rahmen von systemweiten Vorgaben hier die
wichtigsten CA-Zertifkate abzulegen.


\section{Konfiguration zur Verwendung externer X.509-Zertifikatsserver \label{ldapservers}}
\T\margin{\IncludeImage[width=1.5cm]{smime-icon}}

GnuPG kann so konfiguriert werden, dass bei Bedarf fehlende X.509-Zertifkate
oder Sperrlisten auf externen X.509-Zertifikatsserver gesucht werden.

Der Systemdienst ,,DirMngr'' verwendet dafür die Liste der Dienste, die
in der Datei\newline
\Filename{C:\back{}Dokumente und Einstellungen\back{}All
Users\back{}Anwendungsdaten\back{}GNU\back{}\T\\
etc\back{}dirmngr\back{}ldapservers.conf}\\
angegeben sind.

Sind im internen Netz die Zugänge zu externen Zertifikatsservern per LDAP gesperrt, so
kann man in dieser Datei einen Proxy-Dienst für entsprechende Durchleitung
konfigurieren, wie folgende Zeile im Beispiel illustriert:

\verb#proxy.mydomain.example:389:::O=myorg,C=de#

Die genaue Syntax für die Einträge lautet übrigens:

\verb#HOSTNAME:PORT:USERNAME:PASSWORD:BASE_DN#

\clearpage
\section{Systemweite vertrauenswürdige Wurzelzertifikate}
\label{sec_systemtrustedrootcerts}
\T\margin{\IncludeImage[width=1.5cm]{smime-icon}}

Die systemweit als vertrauenswürdig vorbelegten Wurzelzertifkate
werden definiert in der Datei\\
\Filename{C:\back{}Dokumente und Einstellungen\back{}All
Users\back{}Anwendungsdaten\back{}GNU\back{}\T\\
etc\back{}gnupg\back{}trustlist.txt}

Die genaue Syntax für die Einträge lautet hier:
\verb#<FINGERPRINT> S#

Also z.B.:\\
\verb+BA90087D0C6C7F4DEAF00907BCFA2133DDC8CA90 S+

\textbf{Wichtig:} Damit Wurzelzertifikate in Kleopatra vollständig als
vertrauenswürdig markiert werden (Zertifikat wird blau hinterlegt),
müssen die Wurzelzertifikate zusätzlich für den DirMngr abgelegt
werden, wie unter Abschnitt \ref{trustedrootcertsdirmngr}
beschrieben.


\section{Vertrauenswürdigkeit der Wurzelzertifikate durch Benutzer markieren}

Wurzelzertifikate können auch jeweils von den einzelnen Benutzern als
vertrauenswürdig markiert werden -- eine systemweite Konfiguration
(siehe Abschnitt \ref{trustedrootcertsdirmngr} und \ref{sec_systemtrustedrootcerts}) ist dann nicht erforderlich.

Wenn Sie im Kleopatra-Menü \Menu{Extras$\rightarrow$GnuPG Backend} 
einrichten unter \textit{GpgAgent} die Option \textit{erlaube Aufrufern 
Schlüssel als 'vertrauenswürdig' zu markieren} aktivieren, so werden Sie
beim Gebrauch eines bisher nicht vertrauenswürdig eingestuften 
Wurzelzertifkats gefragt, ob Sie es nun als vertrauenswürdig einstufen wollen.
Beachten Sie, dass der gpg-agent neu gestartet werden muss
(z.B. durch ausloggen und wieder einloggen).

\clearpage
\xname{fehler-in-den-gpg4win-programmen-aufspueren}
\chapter{Fehler in den Gpg4win-Programmen aufspüren}

Es kann vorkommen, dass eine der Gpg4win-Programmkomponenten
nicht wie erwartet zu funktionieren scheint.

Nicht selten ist dabei eine Besonderheit der
Arbeitsumgebung verantwortlich, so dass die Softwareentwickler von
Gpg4win das beobachtete Problem gar nicht selbst nachvollziehen können.

Um die Softwareentwickler bei der Problemsuche zu
unterstützen oder um auch einmal selbst in die technischen
Detail-Abläufe reinzuschnuppern, bieten die Gpg4win-Programme
Unterstützung an.

In der Regel muss diese Unterstützung aber erst einmal
eingeschaltet werden. Eine der wichtigsten Hilfsmittel sind
Logdateien: Dort werden detaillierte Informationen zu den internen
technischen Vorgängen festgehalten, wie in einer Logdatei.
Ein Softwareentwickler kann
ein Problem und die mögliche Lösung oft leicht anhand dieser erkennen,
auch wenn das Problem auf den ersten Blick sehr unverständlich
und zu umfangreich wirken mag.

Wenn Sie einen Fehler-Bericht an die Softwareentwickler
senden wollen, so finden Sie auf dieser Web-Seite einige Hinweise:

\uniurl{http://www.gpg4win.de/reporting-bugs-de.html}

Logdateien -- unter o.g. URL als ,,Debug-Informationen'' bezeichnet --
bieten oft wertvolle Hinweise und sollten daher einem Fehlerbericht
beigefügt werden.

In diesem Kapitel wird beschrieben, wie Sie 
Programmablauf-Informationen (darum handelt es sich
letztlich bei den Logdatein) zu den einzelnen Gpg4win-Programmen
einschalten können.

\clearpage
\section{Logdatei von Kleopatra einschalten}

Die Logdatei von Kleopatra besteht aus vielen Dateien,
daher ist der erste Schritt ein Dateiordner für
die Logdatei zu erstellen. Denkbar ist z.B.:
\Filename{C:\back{}TEMP\back{}kleologdir}

Bitte beachten Sie hierbei, dass es hier um Einstellungen
des Anwenders, nicht des Systemadministrators geht.
Die Einstellungen müssen also für jeden Anwender der eine
Logdatei erstellen möchte separat vorgenommen werden und darauf
geachtet werden, dass unterschiedliche \Filename{kleologdir}
Dateiordner verwendet werden.

Der Pfad zu diesem Ordner muss nun in der neuen Umgebungsvariable
\Filename{KLEOPATRA\_LOGDIR} vermerkt werden:

Öffnen Sie dazu die Systemsteuerung, wählen dort \Menu{System}, dann
den Reiter \Menu{Erweitert} und schließlich den Knopf \Button{Umgebungsvariablen}.

Fügen Sie dort folgende neue \textit{Benutzer}variable ein:

\begin{quote}
    Name der Variable: \Filename{KLEOPATRA\_LOGDIR}

    Wert der Variable: ~~\Filename{C:\back{}TEMP\back{}kleologdir}
\end{quote}

Beachten Sie, dass der angegebene Dateiordner existieren muss. Sie können es
auch nachträglich erstellen.

Um die Logfunktion wirksam werden zu lassen, muss Kleopatra beendet
und neu gestartet werden und der Dateiordner der Logdatei existieren,
sowie für Kleopatra beschreibbar sein.

Während Kleopatra verwendet wird, zeichnet es Ablauf-Informationen in die
Datei \Filename{kleo-log} (Haupt-Logdatei) auf, sowie möglicherweise
viele Dateien mit einem Namen nach dem Schema:\\
\Filename{pipe-input-ZEITSTEMPEL-ZUFALLSZEICHEN}

Möglicherweise reichen diese Informationen einem Softwareentwickler
nicht, um den Fehler zu erkennen. Er wird Sie dann bitten, eine weitere
Umgebungsvariable anzulegen
-- so wie Sie es schon oben getan haben:
\begin{quote}
    Name der Variable: \Filename{KLEOPATRA\_LOGPTIONS}

    Wert der Variable: ~~\Filename{all}
\end{quote}

Möglicherweise werden die Logdateien sehr schnell sehr groß.
Sie sollten diese Logdatei-Aufzeichnung nur einschalten, um
ein bestimmtes Fehlverhalten zu provozieren und danach aufzuzeichnen.
Anschliessend schalten
Sie die Aufzeichnung wieder aus indem Sie die Umgebungsvariable
löschen oder den Namen dieser leicht variieren (für späteres leichtes
Reaktivieren). Vergessen Sie nicht, die Logbücher zu löschen gerade
wenn sie sehr umfangreich geworden sind oder es sich um sehr viele
Dateien handelt. Bevor Sie eine neue Aufzeichnung beginnen, ist es
ebenfalls sinnvoll die Logdateien zu löschen.

\clearpage
\section{Logdatei von GpgOL einschalten}

Für das Einschalten der Loglogdatei von GpgOL müssen Sie mit Ihrem
normalen Benutzerkonto (also nicht als Administrator) den Registrierungs-Editor
starten. Geben Sie dazu das Kommando \verb:regedit: unter
\Menu{Start$\rightarrow$Ausführen} oder in einer Eingabeaufforderung ein.

Wählen Sie nun aus der Baumstruktur auf der linken Seite den
folgenden GpgOL-Schlüssel aus:\\
\verb:HKEY_CURRENT_USER\Software\GNU\GpgOL:

Auf der rechten Seite sehen Sie nun eine Liste von Einträgen
(sogenannte Zeichenfolgen) mit teilweise bereits vordefinierten Werten. 
Diese Einträge werden nach dem ersten Start von Outlook mit GpgOL
angelegt.

Zum Aktivieren der GpgOL-Logdatei führen Sie einen Doppelklick auf den Eintrag
\Filename{enableDebug} aus und setzte Sie dessen Wert auf \Filename{1}.

Je größer Sie den Wert von \Filename{enableDebug} wählen, umso mehr
interne Programmablaufinformationen werden in der Logdatei
gespeichert. Es ist empfehlenswert mit \Filename{1} zu beginnen und
nur höhere Werte einzusetzen, falls es eine tiefere
Programmablaufanalyse erfordern sollte.

%TODO#: Mögliche Werte für enableDebug ergeben sich aus 2er Potenzen?
%also: 0-1-2-4-8-.. etc. 
% Genauer Wertebereich?


Als Wert für \Filename{logFile} geben Sie nun einen Dateinamen an,
wohin die Logdatei geschrieben werden soll, z.B.:
\Filename{C:\back{}TEMP\back{}gpgol.log}


Starten Sie Outlook neu, um die Aufzeichnung zu starten.

Bedenken Sie, dass diese Datei sehr umfangreich werden kann.
Stelle Sie \Filename{enableDebug} auf
\Filename{0}, sobald Sie die GpgOL-Logdatei nicht mehr benötigen.


\section{Logdatei von DirMngr einschalten}

Bei DirMngr handelt es sich um einen systemweiten Dienst und daher
ist das Einschalten der Logdatei nur mit Administatorrechten
möglich.

Um die Logdatei einzuschalten, öffnen Sie zunächst folgende
Konfigurationsdatei:
\Filename{C:\back{}Dokumente und Einstellungen\back{}All
Users\back{}Anwendungsdaten\back{}GNU\back{}\\
etc\back{}dirmngr\back{}dirmngr.conf}

Fügen Sie die folgenden zwei Zeilen in die Konfiguratinsdatei hinzu
(den Pfad zur Logdatei können Sie natürlich anpassen):

\begin{quote}
       \verb@debug-all@ \\
       \verb@log-file C:\TEMP\dirmngr.log@
\end{quote}

Starten Sie anschließend den Dienst unter
\Menu{Systemsteuerung$\rightarrow$Verwaltung$\rightarrow$Dienste} neu,
so dass die geänderte Konfigurationsdatei neu eingelesen wird und die
vorgenommene Einstellungen somit wirksam wird.

\clearpage
\section{Logdatei von GnuPG einschalten}

Für folgende GnuPG-Programme können Sie jeweils einzeln das Anlegen
einer Logdatei einschalten:
\begin{itemize}
    \item GPG Agent
    \item GPG für S/MIME
    \item GPG für OpenPGP
    \item Smartcard Daemon
\end{itemize}

Für diese Programme können Anwender persönliche Konfigurationen vornehmen.
Dazu gehört auch das Einstellen einer Protokolldatei für den Programmablauf.

Eingeschaltet wird die jeweilige Logdatei im GnuPG Backend --
erreichbar über das Kleopatra Menü
\Menu{Einstellungen$\rightarrow$GnuPG Backend einrichten...}.
Für jede der o.g. vier Programme existieren in diesem
Konfigurationsfenster zwei Debug-Optionen:
\begin{itemize}
    \item Option \textit{Setze die Debug-Stufe auf}\\
        Hier definieren Sie die Ausführlichkeit der aufzuzeichnenden
        Informationen. Die Debugstufe \textit{Guru} ist die höchste Stufe und
        erzeugt dem entsprechend große Dateien.
        Schalten Sie daher die Logbücher wieder aus (Debugstufe
        \textit{Keine}), wenn Sie diese nicht mehr benötigen.

    \item Option \textit{Schreibe im Servermodus Logs auf DATEI}\\
        Geben Sie hier die Logdatei an, in der alle Debug-Informationen
        gespeichert werden sollen, z.B.:
        \Filename{C:\back{}TEMP\back{}gpgsm.log}
\end{itemize}

Starten Sie anschließend Kleopatra neu (ggf. müssen Sie zuvor einen
noch laufenden gpg-agent über den Task-Manager beenden -- oder aber Sie
loggen sich aus und melden sich neu an Ihrem Windows-System an).

\clearpage
%% Original page 49
\xname{varfor-gpg4win-inte-kan-brytas}
\chapter{Varför Gpg4win inte kan brytas~$\ldots$}
\label{ch:themath}

$\ldots$ jedenfalls nicht mit heute bekannten Methoden und sofern die
Implementierung der Programme frei von Fehlern ist. Soweit die
Theorie.

In der Realität sind genau solche Fehler in den Programmen, im
Betriebssystem oder nicht zuletzt in der Benutzung der letzte
Weg, um doch noch an die geheimen Informationen zu gelangen --
auch deshalb sollte Sie dieses Kompendium bis hierhin gelesen haben.

In jedem Beispiel dieses Kompendiums haben Sie gesehen, dass zwischen dem
geheimen und dem öffentlichen Schlüssel eine geheimnisvolle
Verbindung besteht. Nur wenn beide zueinander passen, können
geheime Botschaften entschlüsselt werden.

Das Geheimnis dieser mathematischen Verbindung müssen Sie nicht
unbedingt kennen -- Gpg4win funktioniert für Sie auch so. Man kann
diese komplexe mathematische Methode aber auch als Normalsterblicher
und Nichtmathematiker verstehen. Sie müssen eigentlich nur einfache
Additionen (z.B. $2 + 3$) und Multiplikationen (z.B. $5 * 7$) beherrschen.
Allerdings in einer ganzen anderen Rechenmethode als der, die Sie im
Alltag benutzen.  Es gehört sowohl zur Sicherheitsphilosophie der
Kryptographie wie auch zum Prinzip der Freien Software, dass es keine
geheim gehaltenen Methoden und Algorithmen gibt. Letztendlich versteht
man auch erst dann wirklich, warum GnuPG (die eigentliche Maschinerie
hinter Gpg4win) sicher ist.

Hier beginnt also sozusagen die Kür nach dem Pflichtteil:


\clearpage
%% Original page 50
\xname{gnupg-och-hemligheten-med-stora-tal}
\chapter{GnuPG och hemligheten med stora tal \htmlonly{\html{p}} }
\label{ch:secretGnupg}

{\Large Kryptographie für Nicht-Mathematiker}\\

Es ist schon versucht worden, den RSA Algorithmus, auf dem GnuPG
basiert\footnote{Sie verwenden hier RSA als Beispiel. RSA ist
  einfacher zu verstehen als der Elgamal Algorithmus, der als
  Voreinstellung von GnuPG benutzt wird.}, zu "`knacken"', also einen
privaten Schlüssel zu berechnen, wenn man lediglich den
öffentlichen Schlüssel kennt.  Diese Berechnung ist aber noch nie für
Schlüssellängen (1024 Bit und mehr), die in GnuPG verwendet werden,
gelungen.  Es ist zwar \textit{theoretisch} möglich, aber
\textit{praktisch} nicht durchführbar! Denn selbst bei genügend vorhandener 
Zeit (viele Jahre)
und Abertausenden von vernetzten Rechnern würde niemals genügen Speicher zur
Verfügung stehen, um den letzten Schritt dieser Berechnung
durchführen zu können.

Es kann allerdings durchaus möglich sein, dass eines Tages eine geniale
Idee die Mathematik revolutioniert und eine schnelle Lösung des mathematischen
Problems, welches hinter RSA steckt, liefert.  Dies wird aber wohl
kaum von heute auf morgen geschehen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) 
veröffentlicht von Zeit zu Zeit
Prognosen und Einschätzungen, welche Schlüssellängen noch wieviele
Jahre für absolute Geheimhaltung benutzt werden sollen.  GnuPG
überschreitet mit seinen Standardeinstellungen noch weit diese
Mindestanforderungen.  Wie im vorigen Kapitel schon angerissen, ist die
Mathematik der mit Abstand sicherste Teil an der ganzen praktisch
angewandten Kryptographie.


\clearpage
%% Original page  52

Im Folgenden erfahren Sie, wie diese mathematische Methode funktioniert. Nicht
in allen Einzelheiten (das würde den Rahmen dieser Anleitung bei
weitem sprengen), aber doch so, dass Sie bei etwas Mitrechnen selbst
mathematisch korrekt ver- und entschlüsseln können und dabei das
"`Geheimnis der großen Zahlen"' entdecken.

Man kann diese komplexe mathematische Methode auch als
Normalsterblicher und Nichtmathematiker verstehen. Sie müssen nur
einfache Additionen und Multiplikationen beherrschen. Wie gesagt: Hier
beginnt der Kürteil, und bei der Kür geht es immer etwas mehr zur
Sache als im Pflichtprogramm.  Letztendlich versteht man dann aber,
warum GnuPG sicher ist.

Eine Begriffsklärung vorneweg:

\begin{quote}

    \textit{Ein \textbf{Algorithmus} ist eine mathematische Prozedur zur Veränderung oder
    Transformation von Daten oder Informationen.}

    \textit{\textbf{Arithmetik} ist die Methode, nach der Sie Zahlen addieren und
    multiplizieren.}
\end{quote}


Die Verschlüsselung mit GnuPG basiert auf dem sogenannten
RSA-Algorithmus\footnote{RSA ist eigentlich optional, da aus
  Patentgründen der Elgamal Algorithmus, beruhend auf dem schwieriger
  zu erklärenden Problem des diskreten Logarithmus, als Standard in
  GnuPG verwendet wird.}.  RSA steht für die Nachnamen von Ron Rivest, Ami
Shamir und Ben Adleman, die diesen Algorithmus im Jahr 1978 entdeckt
haben. Dieser Algorithmus verwendet einen Typ der Arithmetik, die
Rechnen mit Restklassen oder "`Modulo-Arithmetik"' heißt.

\clearpage
%% Original page 53
\section{Das Rechnen mit Restklassen}

Wenn man mit Restklassen rechnet, so bedeutet dies, dass man
nur mit dem "`Rest"' rechnet, der nach einer ganzzahligen Teilung durch eine
bestimmte Zahl übrigbleibt. Diese Zahl, durch die geteilt wird,
nennt man den "`Modul"' oder die "`Modulzahl"'. Wenn Sie
beispielsweise mit dem Teiler oder der Modulzahl 5 rechnen,
sagen man auch, "`ich rechne modulo 5"'.

Wie das Rechnen mit Restklassen -- auch Modulo-Arithmetik oder
Kongruenzrechnung genannt -- funktioniert, kann man sich gut
klarmachen, wenn man sich das Zifferblattes einer Uhr vorstellt:

\begin{center}
\htmlattributes*{img}{width=300}
\IncludeImage[width=0.25\textwidth]{clock-face}
\end{center}

Diese Uhr ist ein Beispiel für das Rechnen mit modulo 12 (der Teiler
ist also 12) -- eine Uhr mit einem normalen Zifferblatt, allerdings
mit einer 0 anstelle der 12. Sie können damit Modulo-Arithmetik
betreiben, indem Sie einfach den gedachten Zeiger bewegen.

Um beispielsweise $3 + 2$ zu rechnen, beginnen Sie bei der Ziffer 2
und drehen den Zeiger um 3 Striche weiter (oder Sie starten bei der 3
und drehen 2 Striche weiter, was natürlich auf dasselbe hinausläuft)
Das Ergebnis ist 5.

Zählt man auf diese Weise $7 + 8$ zusammen, erhält man 3. Denn 3 ist
der Rest, wenn man 15 (also $7 + 8$) durch 12 teilt.  Um 5 mit 7 zu
multiplizieren, beginnt man bei 0 und dreht 7 mal jeweils um 5 Striche
weiter (oder auch bei 0 beginnend 5 mal um 7 Striche). In beiden
Fällen bleibt der Zeiger bei 11 stehen. Denn 11 ist der Rest, wenn 35
(also $7 * 5$) durch 12 geteilt wird.

\clearpage
%% Original page 54

Beim Rechnen mit Restklassen addieren und teilen Sie Zahlen also nach
den normalen Regeln der Alltagsarithmetik, verwenden dabei jedoch
immer nur den Rest nach der Teilung. Um anzuzeigen, dass Sie nach den
Regeln der Modulo-Arithmetik und nicht nach denen der üblichen
Arithmetik rechnen, schreibt man den Modul (Sie wissen schon -- den
Teiler) dazu. Man sagt dann z.B. "`4 modulo 5"',
schreibt aber kurz "`$4 \bmod 5$"'. 

Bei Modulo-5 z.B. hat man dann eine Uhr, auf deren
Zifferblatt es nur die 0, 1, 2, 3 und 4 gibt. Also:

\[ 4 \bmod 5 + 3 \bmod 5 = 7 \bmod 5 = 2 \bmod 5 \]

Anders ausgedrückt, ist in der Modulo-5 Arithmetik das Ergebnis
aus 4 plus 3 gleich 2. Sie können also auch schreiben:

\[ 9 \bmod 5 + 7 \bmod 5 = 16 \bmod 5 = 1 \bmod 5 \]

Sie sehen auch, dass es egal ist, in welcher Reihenfolge Sie
vorgehen, weil Sie nämlich auch schreiben können:

\[ 9 \bmod 5 + 7 \bmod5 = 4 \bmod 5 + 2 \bmod 5 = 6 \bmod 5 =
   1 \bmod 5                                                   \]

Denn 4 ist dasselbe wie 9, und 2 dasselbe wie 7, da Sie sich ja nur für
den jeweiligen Rest nach der Teilung durch 5 interessieren.  Daran
wird deutlich, dass Sie bei dieser Art der Arithmetik jederzeit 5 oder
ein Vielfaches von 5, wie 10, 15 und so weiter nehmen können, und das
Ergebnis stets dasselbe ist.


\clearpage
%% Original page 55
Das funktioniert auch beim Multiplizieren (Malnehmen).

Ein Beispiel:

\[ 4 \bmod 5 * 2 \bmod 5 = 8 \bmod 5 = 3 \bmod 5  \]

Ebenso können Sie schreiben:

\[ 9 \bmod 5 * 7 \bmod 5 = 63 \bmod 5 = 3 \bmod 5 \]

da Sie einfach 60, also $5 * 12$, abziehen können.

Man könnte aber auch schreiben:

\[ 9 \bmod 5 * 7 \bmod 5 = 4 \bmod 5 * 2 \bmod 5 = 8 \bmod 5 = 3 \bmod
5 \]

denn 4 entspricht 9, und 2 entspricht 7, wenn Sie nur den Rest
nach Teilung durch 5 betrachten.

Widerum können Sie feststellen, dass es egal ist, wenn Sie das Vielfache
von 5 einfach weglassen.

Da dadurch alles einfacher wird, machen Sie das, bevor Sie
Zahlen addieren oder multiplizieren. Das bedeutet, dass Sie sich
lediglich um die Zahlen 0, 1, 2, 3 und 4 kümmern müssen, wenn
Sie mit der Modulo-5 Arithmetik rechnen. Denn Sie können ja
alles, was durch 5 teilbar ist, weglassen.
Dazu noch drei Beispiele:

\[ 5 \bmod 11 * 3 \bmod 11 = 15 \bmod 11 = 4 \bmod 11 \]
\[ 2 \bmod 7 * 4 \bmod 7 = 1 \bmod 7                  \]
\[ 13 \bmod 17 * 11 \bmod 17 = 7 \bmod 17             \]

Das letzte Beispiel wird klar, wenn man bedenkt, dass in normaler
Arithmetik gerechnet $ 13 * 11 = 143 $ und $ 143 = 8 * 17 + 7 $ ist.


\clearpage
%% Original page 56
\section{RSA-Algorithmus und Rechnen mit Restklassen}

Computer speichern Buchstaben als Zahlen. Alle Buchstaben und Symbole
auf der Computertastatur werden in Wirklichkeit als Zahlen
gespeichert, die zwischen 0 und 255 liegen.

Sie können also eine Nachricht auch in eine Zahlenfolge umwandeln.
Nach welcher Methode (oder Algorithmus) dies geschieht, wird im
nächsten Abschnitt beschrieben. Darin wird Ihnen die Methode
vorgestellt, nach der die Verschlüsselung mit GnuPG funktioniert: den
RSA Algorithmus. Dieser Algorithmus wandelt eine Zahlenfolge (die ja
eine Nachricht darstellen kann) so in eine andere Zahlenfolge um
(Transformation), dass die Nachricht dabei verschlüsselt wird. Wenn
man dabei nach dem richtigen Verfahren vorgeht, wird die Nachricht
sicher kodiert und kann nur noch vom rechtmäßigen Empfänger dekodiert
werden.  Das sind die Grundlagen des RSA Algorithmus:

Sie selbst haben bei der Installation von Gpg4win während der Eingabe
Ihrer Passphrase zwei große Primzahlen erzeugt, ohne es zu
bemerken (dieser werden mit $p$ und $q$ bezeichnet). Nur Sie --­ oder
in der Praxis Ihr Computer --­ kennen diese beiden Primzahlen, und Sie
müssen für ihre Geheimhaltung sorgen.

%% Original page 57
Es werden daraus nun drei weitere Zahlen erzeugt:
\begin{description}
\item [Die erste Zahl] ist das Ergebnis der Multiplikation der beiden
  Primzahlen, also ihr Produkt.  Dieses Produkt wird als Modulus und
  dem Buchstaben $n$ bezeichnet.  Dies ist der Modul mit dem Sie
  später immer rechnen werden.

\item [Die zweite Zahl] ist der sogenannte öffentliche Exponent und
  eine Zahl an die bestimmte Anforderungen gestellt werden
  (teilerfremd zu $(p-1)(q-1)$); sie wird mit $e$ bezeichnet. Häufig
  wird hier 3, 41 oder 65537 benutzt.

\item [Die dritte Zahl] wird errechnet aus dem öffentlichem Exponent
  (der zweiten Zahl) und den beiden Primzahlen. Diese Zahl ist der
  geheime Exponent und wird mit $d$ bezeichnet.  Die komplizierte
  Formel zur Berechnung lautet:
      \[ d = e^{-1} \bmod (p - 1)(q -1) \]
\end{description}


Die erste und die zweite Zahl werden veröffentlicht ­-- das ist Ihr
öffentlicher Schlüssel.  Beide werden dazu benutzt, Nachrichten zu
verschlüsseln. Die dritte Zahl muss von Ihnen geheimgehalten werden
­-- es ist Ihr geheimer Schlüssel.  Die beiden Primzahlen werden
danach nicht mehr benötigt.

Wenn eine verschlüsselte Nachricht empfangen wird, kann sie
entschlüsselt werden mit Hilfe der ersten ($n$) und der dritten Zahl
($d$).  Nur der Empfänger kennt beide Schlüsselteile ­-- seinen
öffentlichen und seinen geheimen Schlüssel. Der Rest der Welt kennt
nur den öffentlichen Schlüssel ($n$ und $e$).

Die Trick des RSA Algorithmus liegt nun darin, dass es unmöglich ist,
aus dem öffentlichen Schlüsselteil ($n$ und $e$) den geheimen
Schlüsselteil ($d$) zu errechnen und damit die Botschaft zu
entschlüsseln -- denn: Nur wer im Besitz von $d$ ist, kann die
Botschaft entschlüsseln.


\clearpage 
%% Original page 58
\section{RSA Verschlüsselung mit kleinen Zahlen}

Sie verwenden hier erst einmal kleine Zahlen, um deutlich
zu machen, wie die Methode funktioniert. In der Praxis verwendet
man jedoch viel größere Primzahlen, die aus ­zig Ziffern bestehen.

Nehmen Sie die Primzahlen 7 und 11. Damit verschlüsseln Sie
Zahlen ­-- oder Buchstaben, was für den Computer dasselbe ist --
nach dem RSA Algorithmus.

Und zwar erzeugen Sie zunächst den öffentlichen Schlüssel.

\begin{description}
\item [Die erste Zahl] ist 77, nämlich das Ergebnis der Multiplikation
  der beiden Primzahlen, 7 und 11. 77 dient Ihnen im weiteren Verlauf
  als Modulus zur Ver- und Entschlüsselung.

\item [Die zweite Zahl] ist der öffentliche Exponent. Sie wählen hier 13.

\item [Die dritte Zahl] ist der geheime Schlüssel. Diese Zahl wird in einem
  komplizierten Verfahren errechnet, welches Sie jetzt erklärt
  bekommen:

Zunächst ziehen Sie von Ihren Primzahlen 7 und 11 jeweils die Zahl 1
ab (also $7 - 1$ und $11 - 1$) und multiplizieren die beiden
resultierenden Zahlen miteinander. In dem Beispiel ergibt das 60:
$( 7 - 1 ) * ( 11 - 1) = 60$. 60 ist Ihre Modulzahl für die
weiterführende Berechnung des geheimen Schlüssels (sie ist aber nicht
mit dem eigentlichen Modulus 77 zu verwechseln).

Sie suchen jetzt eine Zahl, die multipliziert mit dem öffentlichen
Schlüssel die Zahl 1 ergibt, wenn man mit dem Modul 60 rechnet:

\[ 13 \bmod 60 *~?~\bmod 60 = 1 \bmod 60 \]

Die einzige Zahl, die diese Bedingung erfüllt, ist 37, denn

\[ 13 \bmod 60 * 37 \bmod 60 = 481 \bmod 60 = 1 \bmod 60 \]

37 ist die einzige Zahl, die multipliziert mit 13 die Zahl 1 ergibt,
wenn man mit dem Modul 60 rechnet.

\end{description}


\clearpage
%% Original page  59
\subsubsection{Sie verschlüsseln mit dem öffentlichen Schlüssel eine Nachricht}

Nun zerlegen Sie die Nachricht in eine Folge von Zahlen zwischen 0 und
76, also 77 Zahlen, denn sowohl Verschlüsselung als auch
Entschlüsselung verwenden den Modul 77 (das Produkt aus den Primzahlen
7 und 11).

Jede einzelne dieser Zahlen wird nun nach der Modulo-77 Arithmetik 13
mal mit sich selbst multipliziert. Sie erinnern sich: Die 13 ist ja
Ihr öffentlicher Schlüssel.

Nehmen Sie ein Beispiel mit der Zahl 2: Sie wird in die Zahl 30
umgewandelt, weil
 $ 2 * 2 * 2 * 2 * 2 * 2 * 2 * 2 * 2 * 2 * 2 * 2 * 2 * 2
 = 8192 = 30 \bmod 77 $ sind.

 Ein weiteres Beispiel: 75 wird in die Zahl 47 umgewandelt, denn 75
 wird 13 mal mit sich selbst multipliziert und durch 77 geteilt, so
 dass der Rest 47 entsteht.

Wenn man eine solche Rechnung für alle Zahlen zwischen 0 und 76
durchführt und die Ergebnisse in eine Tabelle einsetzt, sieht diese so
aus:

\W\xmlattributes*{table}{BORDER}
\htmlattributes*{td}{BGCOLOR="gray"}
\begin{table}[htbp]
\begin{center}
\begin{Label}{table1}
\begin{tabular}{|r||r|r|r|r|r|r|r|r|r|r|}
\hline
\normalfont \bfseries \T\cellcolor{gray}
&\normalfont \bfseries 0&\normalfont \bfseries 1&\normalfont \bfseries 2&\normalfont \bfseries 3&\normalfont \bfseries 4&\normalfont \bfseries 5&\normalfont \bfseries 6&\normalfont \bfseries 7& \normalfont \bfseries 8&\normalfont \bfseries 9\\
\hline
\hline
\normalfont \bfseries 0& 0& 1& 30& 38& 53& 26& 62& 35& 50& 58\\
\hline
\normalfont \bfseries 10& 10& 11& 12& 41& 49& 64& 37& 73& 46& 61\\
\hline
\normalfont \bfseries 20& 69& 21& 22& 23& 52& 60& 75& 48& 7& 57\\
\hline
\normalfont \bfseries 30& 72& 3& 32& 33& 34& 63& 71& 9& 59& 18\\
\hline
\normalfont \bfseries 40& 68& 6& 14& 43& 44& 45& 74& 5& 20& 70\\
\hline
\normalfont \bfseries 50& 29& 2& 17& 25& 54& 55& 56& 8& 16& 31\\
\hline
\normalfont \bfseries 60& 4& 40& 13& 28& 36& 65& 66& 67& 19& 27\\
\hline
\normalfont \bfseries 70& 42& 15& 51& 24& 39& 47& 76
\htmlattributes*{td}{BGCOLOR="gray"} & \T\cellcolor{gray}
\htmlattributes*{td}{BGCOLOR="gray"} & \T\cellcolor{gray}
\htmlattributes*{td}{BGCOLOR="gray"} & \T\cellcolor{gray}
\T\\
\hline
\end{tabular}
\texorhtml{\caption}{\htmlcaption}{~}
\end{Label}\end{center}
\end{table}

In der linken Spalte stehen die 10er-Stellen, in der oberen Zeile die
1er-Stellen.

\clearpage
%% Original page 60
\subsubsection{Entschlüsseln Sie eine Nachricht mit dem privaten Schlüssel}

Um das Beispiel mit der 2 von oben umzukehren, also die Nachricht zu
dekodieren, multiplizieren Sie 30 (die umgewandelte 2) unter
Verwendung der Modulzahl 77 37 mal mit sich selbst.  Sie erinnern
sich: 37 ist der geheime Schlüssel.

Diese wiederholte Multiplikation ergibt eine Zahl die $2 \bmod 77$
ergibt. Das andere Beispiel: Die Zahl $47 \bmod 77$ wird zur Zahl $75
\bmod 77$ dekodiert.

Tabelle \ref{table2} zeigt die genaue Zuordnung der 77 Zahlen zwischen 0 und 76.

\W\xmlattributes*{table}{BORDER}
\htmlattributes*{td}{BGCOLOR="gray"}
\begin{table}[htbp]
\begin{center}
\begin{Label}{table2}
\begin{tabular}{|r||r|r|r|r|r|r|r|r|r|r|}
\hline
\normalfont \bfseries \T\cellcolor{gray}
&\normalfont \bfseries 0&\normalfont \bfseries 1&\normalfont \bfseries 2&\normalfont \bfseries 3&\normalfont \bfseries 4&\normalfont \bfseries 5&\normalfont \bfseries 6&\normalfont \bfseries 7& \normalfont \bfseries 8&\normalfont \bfseries 9\\
\hline
\hline
\normalfont \bfseries 0& 0& 1& 51& 31& 60& 47& 41& 28& 57& 37\\
\hline
\normalfont \bfseries 10& 10& 11& 12& 62& 42& 71& 58& 52& 39& 68\\
\hline
\normalfont \bfseries 20& 48& 21& 22& 23& 73& 53& 5& 69& 63& 50\\
\hline
\normalfont \bfseries 30& 2& 59& 32& 33& 34& 7& 64& 16& 3& 74\\
\hline
\normalfont \bfseries 40& 61& 13& 70& 43& 44& 45& 18& 75& 27& 14\\
\hline
\normalfont \bfseries 50& 8& 72& 24& 4& 54& 55& 56& 29& 9& 38\\
\hline
\normalfont \bfseries 60& 25& 19& 6& 35& 15& 65& 66& 67& 40& 20\\
\hline
\normalfont \bfseries 70& 49& 36& 30& 17& 46& 26& 76
\htmlattributes*{td}{BGCOLOR="gray"} & \T\cellcolor{gray}
\htmlattributes*{td}{BGCOLOR="gray"} & \T\cellcolor{gray}
\htmlattributes*{td}{BGCOLOR="gray"} & \T\cellcolor{gray}
\T\\
\hline
\end{tabular}
\texorhtml{\caption}{\htmlcaption}{Zahlentransformation modulo77, unter Verwendung
des geheimen Schlüssels 37}
\end{Label}\end{center}
\end{table}


Um eine Zahl mit Tabelle \ref{table2} zu transformieren, gehen Sie nach der
gleichen Methode vor wie bei Tabelle~\ref{table1}. Ein Beispiel: 60 wird
transformiert in die Zahl in Zeile 60 und Spalte 0. Also wird 60 zu 25
transformiert.

Das überrascht nicht, denn wenn man davon ausgeht, dass Sie bei der
Umwandlung von 25 mit Hilfe von Tabelle~\ref{table1} als Ergebnis 60 erhalten,
dann sollten Sie auch bei der Transformation von 60 mit Hilfe von
Tabelle \ref{table2} zum Ergebnis 25 gelangen. Dabei haben Sie den öffentlichen
Schlüssel, 13, zur Umwandlung bzw. Kodierung einer Zahl verwendet,
und den geheimen Schlüssel 37, um sie zurückzuwandeln bzw. zu
dekodieren. Sowohl für die Verschlüsselung als auch für die
Entschlüsselung haben Sie sich der Modulo-77 Arithmetik bedient.

\clearpage
%% Original page 61
\subsubsection{Zusammenfassung}

Sie haben\ldots
\begin{itemize}
\item durch den Computer zwei zufällige Primzahlen erzeugen lassen;

\item daraus das Produkt und den öffentlichen und den geheimen Subkey
  gebildet;

\item gezeigt, wie man mit dem öffentlichen Schlüssel Nachrichten
  verschlüsselt;

\item gezeigt, wie man mit dem geheimen Schlüssel Nachrichten
  entschlüsselt.
\end{itemize}

Diese beiden Primzahlen können so groß gewählt werden, dass es
unmöglich ist, sie einzig aus dem öffentlich bekannt gemachten Produkt
zu ermitteln. Das begründet die Sicherheit des RSA Algorithmus.

Sie haben gesehen, dass die Rechnerei sogar in diesem einfachen
Beispiel recht kompliziert geworden ist. In diesem Fall hat die
Person, die den Schlüssel öffentlich gemacht hat, die Zahlen 77 und 13
als öffentlichen Schlüssel bekanntgegeben.  Damit kann jedermann dieser
Person mit der oben beschriebenen Methode --­ wie im Beispiel der
Tabelle~\ref{table1} --­ eine verschlüsselte Zahl oder Zahlenfolge schicken. Der
rechtmäßige Empfänger der verschlüsselten Zahlenfolge kann diese dann
mit Hilfe der Zahl 77 und dem geheimen Schlüssel 37 dekodieren.

%% Original page 62
In diesem einfachen Beispiel ist die Verschlüsselung natürlich nicht
sonderlich sicher. Es ist klar, dass 77 das Produkt aus 7 und 11 ist.

Folglich kann man den Code in diesem einfachen Beispiel leicht
knacken. Der scharfsinnige Leser wird auch bemerkt haben, dass etliche
Zahlen, z.B. die Zahl 11 und ihr Vielfaches (also 22, 33 etc.)
und die benachbarten Zahlen sich in sich selbst umwandeln.

\W\xmlattributes*{table}{BORDER}
\htmlattributes*{td}{BGCOLOR="gray"}
\begin{table}[htbp]
\begin{center}
\begin{Label}{table3}
\begin{tabular}{|r||r|r|r|r|r|r|r|r|r|r|}
\hline
\normalfont \bfseries \T\cellcolor{gray}
&\normalfont \bfseries 0&\normalfont \bfseries 1&\normalfont \bfseries 2&\normalfont \bfseries 3&\normalfont \bfseries 4&\normalfont \bfseries 5&\normalfont \bfseries 6&\normalfont \bfseries 7& \normalfont \bfseries 8&\normalfont \bfseries 9\\
\hline
\hline
\normalfont \bfseries 0& 0& 1& 51& 31& 60& 47& 41& 28& 57& 37\\
\hline
\normalfont \bfseries 10
\htmlattributes*{td}{BGCOLOR="lightgray"} & \T\cellcolor{lightgray}
10 \htmlattributes*{td}{BGCOLOR="lightgray"} & \T\cellcolor{lightgray}
11 \htmlattributes*{td}{BGCOLOR="lightgray"} & \T\cellcolor{lightgray}
12& 62& 42& 71& 58& 52& 39& 68\\
\hline
\normalfont \bfseries 20& 48 \htmlattributes*{td}{BGCOLOR="lightgray"} & \T\cellcolor{lightgray}
21 \htmlattributes*{td}{BGCOLOR="lightgray"} & \T\cellcolor{lightgray}
22 \htmlattributes*{td}{BGCOLOR="lightgray"} & \T\cellcolor{lightgray}
23& 73& 53& 5& 69& 63& 50\\
\hline
\normalfont \bfseries 30& 2& 59
\htmlattributes*{td}{BGCOLOR="lightgray"} & \T\cellcolor{lightgray}
32 \htmlattributes*{td}{BGCOLOR="lightgray"} & \T\cellcolor{lightgray}
33 \htmlattributes*{td}{BGCOLOR="lightgray"} & \T\cellcolor{lightgray}
34& 7& 64& 16& 3& 74\\
\hline
\normalfont \bfseries 40& 61& 13& 70 \htmlattributes*{td}{BGCOLOR="lightgray"} & \T\cellcolor{lightgray}
43 \htmlattributes*{td}{BGCOLOR="lightgray"} & \T\cellcolor{lightgray}
44 \htmlattributes*{td}{BGCOLOR="lightgray"} & \T\cellcolor{lightgray} 
45& 18& 75& 27& 14\\
\hline
\normalfont \bfseries 50& 8& 72& 24& 4 \htmlattributes*{td}{BGCOLOR="lightgray"} & \T\cellcolor{lightgray}
54 \htmlattributes*{td}{BGCOLOR="lightgray"} & \T\cellcolor{lightgray}
55 \htmlattributes*{td}{BGCOLOR="lightgray"} & \T\cellcolor{lightgray} 
56& 29& 9& 38\\
\hline
\normalfont \bfseries 60& 25& 19& 6& 35& 15 \htmlattributes*{td}{BGCOLOR="lightgray"} & \T\cellcolor{lightgray}
65 \htmlattributes*{td}{BGCOLOR="lightgray"} & \T\cellcolor{lightgray}
66 \htmlattributes*{td}{BGCOLOR="lightgray"} & \T\cellcolor{lightgray} 
67& 40& 20\\
\hline
\normalfont \bfseries 70& 49& 36& 30& 17& 46& 26& 76
\htmlattributes*{td}{BGCOLOR="gray"} & \T\cellcolor{gray}
\htmlattributes*{td}{BGCOLOR="gray"} & \T\cellcolor{gray}
\htmlattributes*{td}{BGCOLOR="gray"} & \T\cellcolor{gray}
\T\\
\hline
\end{tabular}
\texorhtml{\caption}{\htmlcaption}{~}
\end{Label}\end{center}
\end{table}



\clearpage

Das erscheint als ein weiterer Schwachpunkt dieser
Verschlüsselungsmethode: Man könnte annehmen, dass die Sicherheit des
Algorithmus dadurch beeinträchtigt würde.  Doch stellen Sie sich nun
vor, das Produkt zweier grosser Primzahlen, die auf absolut
willkürliche Art und Weise gewählt werden, ergäbe


\begin{verbatim}
114,381,625,757,888,867,669,235,779,976,146,612,010,
218,296,721,242,362,562,561,842,935,706,935,245,733,
897,830,597,123,563,958,705,058,989,075,147,599,290,
026,879,543,541
\end{verbatim}

%% Original page 63
Hier ist überhaupt nicht mehr ersichtlich, welche die beiden zugrunde
liegenden Primzahlen sind. Folglich ist es sehr schwierig, aufgrund
des öffentlichen Schlüssels den geheimen Schlüssel zu ermitteln.
Selbst den schnellsten Computern der Welt würde es gewaltige Probleme
bereiten, die beiden Primzahlen zu errechnen.

Man muss die Primzahlen also nur groß genug wählen, damit ihre
Berechnung aus dem Produkt so lange dauert, dass alle bekannten
Methoden daran in der Praxis scheitern.  Außerdem nimmt der Anteil der
Zahlen, die in sich selbst transformiert werden --­ wie man sie oben
in den Tabellen~\ref{table1} und \ref{table2} findet -- stetig ab, je größer die
Primzahlen werden.  Von Primzahlen in der Grössenordnung, die Sie in der
Praxis bei der Verschlüsselung verwenden, ist dieser Teil ist so
klein, dass der RSA Algorithmus davon in keiner Weise beeinträchtigt
wird.

Je größer die Primzahlen, desto sicherer die Verschlüsselung.
Trotzdem kann ein normaler PC ohne weiteres das Produkt aus den beiden
großem Primzahlen bilden. Kein Rechner der Welt dagegen kann aus
diesem Produkt wieder die ursprünglichen Primzahlen herausrechnen --­
jedenfalls nicht in vertretbarer Zeit.


\clearpage
%% Original page 64
\section{Die Darstellung mit verschiedenen Basiszahlen
\htmlonly{\html{br}\html{br}} }

Um zu verstehen, wie Nachrichten verschlüsselt werden, sollte man
wissen, wie ein Computer Zahlen speichert und vor allem, wie sie in
unterschiedlichen Zahlenbasen dargestellt werden können.

Dazu machen Sie sich zunächst mit den Zahlenpotenzen vertraut.

Zwei hoch eins, das man als $2^1$ darstellt, ist gleich 2;
zwei hoch drei, dargestellt als $2^3$, ist $2 * 2 * 2 = 8$; zwei
hoch zehn, dargestellt als $2^{10}$, ist $2*2*2*2*2*2*2*2*2*2 = 1024$.

Jede Zahl hoch 0 ist gleich 1, z.B. $2^0 = 1$ und $5^0 = 1$.
Verallgemeinert bedeutet dies, dass eine potenzierte Zahl so oft mit
sich selbst multipliziert wird, wie es die Hochzahl (Potenz) angibt.

Das Konzept einer Zahlenbasis veranschaulicht z.B. ein
Kilometerzähler im Auto: Das rechte Rad zählt nach jedem
Kilometer eine Stelle weiter und zwar nach der vertrauten Abfolge
der Zahlen

0, 1, 2, 3, 4, 5, 6, 7, 8, 9, 0, 1, 2,...

und so weiter. Jedesmal, wenn das rechte Rad wieder 0 erreicht, zählt
das Rad links davon eine Stelle hoch. Und jedesmal, wenn dieses zweite
Rad die 0 erreicht, erhöht das Rad links davon um eins \ldots und so
weiter.

%% Original page 65

\begin{center}
\htmlattributes*{img}{width=300}
\IncludeImage[width=0.4\textwidth]{mileage-indicator}
\end{center}

Das rechte Rad zählt die einzelnen Kilometer. Wenn es eine 8
angezeigt, dann sind dies 8 Kilometer. Das Rad links davon zeigt
jeweils die vollen zehn Kilometer an: eine 5 bedeutet 50 Kilometer.
Dann folgen die Hunderter: Steht dort 7, dann bedeutet dies 700
Kilometer.

Nach dem gleichen Prinzip stellen Sie ja auch Ihre normale Zahlen
mit den Ziffern 0 bis 9 dar.

"`578"', z.B., bedeutet $5 * 100 + 7 * 10 + 8$, und dies
entspricht 578.

Hier haben Sie die "`5"' stellvertretend für fünfhundert, "`7"' für
siebzig und "`8"' für acht. In diesem Fall ist die Basis 10, eine für
Sie vertraute Basis.

Also steht die rechte Ziffer für die Einer der betreffenden Zahl (d.h.
sie wird mit 1 multipliziert), die Ziffer links davon steht für die
Zehner (d.h. wird mit 10 multipliziert), die nächste Ziffer wiederum
für die Hunderter (d.h. sie wird mit 100 multipliziert) und so weiter.
Da man Zahlen normalerweise zur Basis 10 darstellen, machen Sie sich
nicht die Mühe, die Basis extra anzugeben. Formal würde man dies bei
der Zahl 55 mit der Schreibweise $55_{10}$ anzeigen, wobei die
tiefgestellte Zahl die Basis anzeigt.

Wenn Sie Zahlen nicht zur Basis 10 darstellen, so müssen Sie dies mit Hilfe
einer solchen tiefgestellten Basiszahl anzeigen.


%% Original page 66
Angenommen, die Anzeige des Kilometerzählers hätte statt der Ziffern 0
bis 9 nur noch 0 bis 7. Das rechte Rädchen würde nach jedem Kilometer
um eine Ziffer höher zählen, wobei die Zahlenfolge so aussehen würde:

\[ 0, 1, 2, 3, 4, 5, 6, 7, 0, 1, 2, und so weiter. \]

Ihr Tacho zur Basis 8 stellt z.B. folgende Zahl dar:

\[ 356 \]

Die 6 auf dem rechten Rädchen zählt einzelne Kilometer, also 6
Kilometer.\\
Die 5 auf dem Rädchen daneben für $5 * 8$, also 40 Kilometer.\\
Die 3 links steht für je 64 Kilometer pro Umdrehung, also hier
$3 * 8 * 8$ Kilometer.

So rechnet man also mit Zahlen zur Basis 8. Ein Beispiel: 728 bedeutet
$7 * 8 + 2$, und das ist gleich "`58"'. Bei dieser Art der Darstellung
steht die "`2"' aus der 72 für 2, aber die "`7"' steht für $7 * 8$.

Größere Zahlen werden schrittweise genauso aufgebaut, so dass
$453_8$ eigentlich $4 * 64 + 5 * 8 + 3$ bedeutet, was 299 ergibt.

Bei $453_8$ steht die "`3"' für 3, die "`5"' für $5 * 8$ und die "`4"'
für $4 * 64$, wobei sich die "`64"' wiederum aus $8 * 8$ herleitet.

Im angeführten Beispiel werden die Ziffern, von rechts nach links
gehend, mit aufsteigenden Potenzen von 8 multipliziert. Die rechte
Ziffer wird mit 8 hoch 0 (das ist 1) multipliziert, die links daneben
mit 8 hoch 1 (das ist 8), die nächste links davon mit
8 hoch 2 (das ist 64) und so weiter.\\
Wenn man Zahlen zur Basis 10 darstellt, gibt es keine höhere Ziffer
als 9 (also 10 minus 1). Sie verfügen also über keine Ziffer, die 10
oder eine größere Zahl darstellt. Um 10 darzustellen, brauchen Sie
zwei Ziffern, mit denen Sie dann die "`10"' schreiben können.\\
Sie haben also nur die Ziffern 0 bis 9.

So ähnlich ist es, wenn Sie mit
der Basiszahl 8 rechnen: Dann haben Sie nur die Ziffern 0 bis 7.
Wollen Sie zu dieser Basis eine höhere Zahl als sieben darstellen,
müssen Sie wieder zwei Ziffern verwenden. Z.B. "`9"' schreibt
man als $11_8$, "`73"' schreibt man als $111_8$.


\clearpage
%% Original page 67

Computer speichern Zahlen als eine Folge von Nullen und Einsen.
Man nennt dies Binärsystem oder Rechnen mit der Basiszahl 2,
weil Sie nur die Ziffern 0 und 1 verwenden. Stellen Sie sich vor,
Sie würden die Kilometer mit einem Tachometer zählen, auf
dessen Rädchen sich nur zwei Ziffern befinden: 0 und 1.
Die Zahl $10101_2$ z.B. bedeutet im Binärsystem

\[ 1 * 16 + 0 * 8 + 1 * 4 + 0 * 2 + 1 = 21 \].

In der Computerei verwendet man auch Gruppen von acht Binärziffern,
das wohlbekannte Byte. Ein Byte kann Werte zwischen 0 - dargestellt
als Byte $00000000_2$ -- und 255 -- dargestellt als Byte
$11111111_2$ -- annehmen. Ein Byte stellt also Zahlen zur Basis 256
dar.

Zwei weitere Beispiele:

\[ 10101010_2 = 170 \] und
\[ 00000101_2 = 5 \].

Da der Computer die Buchstaben, Ziffern und Satzzeichen als Bytes
speichert, schauen Sie sich an, welche Rolle dabei die Darstellung zur
Basis 256 spielt.


\clearpage
%% Original page 68
Nehmen Sie die Silbe "`un"'. Das "`u"' wird im Computer als 117
gespeichert und das "`n"' als 110.

Diese Zahlenwerte sind für alle Computer standardisiert und werden
ASCII-Code genannt. Um alle Zahlen und Symbole darstellen zu können,
benötigen Sie auf dem Computer die 256 Zahlen von 0 bis 255.

Sie können also die Silbe "`un"' durch die Zahl $117 * 256 + 110$
darstellen.\\
Entsprechend würde man die Buchstabenfolge "`und"' mit der Zahl $117 *
65536 + 110 * 256 + 100$ darstellen, denn das "`d"' wird
durch 100 repräsentiert.\\
Sie haben hier also Zahlen und Symbole, die auf der Computertastatur
als normale Zahlen zur Basis 10 stehen, intern durch Zahlen zur Basis
256 repräsentiert.

Entsprechend können Sie aus jeder Nachricht eine große Zahl machen.
Aus einer langen Nachricht wird also eine gewaltig große Zahl. Und
diese sehr große Zahl wollen Sie nun nach dem RSA Algorithmus
verschlüsseln.

Sie dürfen allerdings dabei die Zahl, zu der die Nachricht
verschlüsselt wird, nicht größer werden lassen als das Produkt der
Primzahlen (Modulus). Ansonsten bekommen Sie Probleme, wie Sie gleich
noch sehen werden.


\clearpage
%% Original page 69

Die folgende Prozedur umfasst mehrere Schritte, die hier zunächst 
zusammengefasst werden und anschließend in Einzelschritten dargestellt
werden:

\begin{enumerate}
\item Die Nachricht \emph{aba, cad, ada} wandeln Sie -- wie gesehen -- in
  Zahlen um.
\item Diese Darstellung zur Basis 4 wandeln Sie in eine Darstellung
  zur Basis 10 um, damit Sie zur Verschlüsselung die
  Tabelle~\ref{table1}
  benutzen können, in denen die Zahlen ja auch auf 10er-Basis
  dargestellt werden.  Dabei entsteht eine kodierte Nachricht zur
  Basis 10.

\item Um die Kodierung im Vergleich zum "`Klartext"' zu erkennen,
  rechnen Sie die zur Basis 10 kodierte Nachricht auf die Basis 4
  zurück und wandeln sie dann wieder in eine Buchstabensequenz.

\item So entsteht aus der Nachricht \emph{aba, cad, ada} die verschlüsselte
  Nachricht \emph{dbb, ddd, dac}.
\end{enumerate}


\clearpage
%% Original page 70

Und nun ausführlich:

\begin{enumerate}
    \item Die Nachricht \emph{aba, cad, ada} wandeln Sie -- wie gesehen --
        in Zahlen um.

Angenommen, Sie beschränken sich bei den Nachrichten auf die 4
Buchstaben a, b, c und d. In diesem -- wirklich sehr einfachen --
Beispiel können Sie die vier Buchstaben durch die Zahlenwerte 0, 1, 2
und 3 darstellen, und haben dann

\[ a = 0, b = 1, c = 2 ~\mbox{und}~ d = 3 \].

Verschlüsseln Sie nun die Nachricht "`abacadaca"'. Sie kodieren
diese Nachricht mit Hilfe der Primzahlen 7 und 11, mit dem
öffentlichen Schlüssel 77 und 13 und dem dazugehörenden geheimen
Schlüssel 37.  Dieses Beispiel kennen Sie bereits aus dem früheren
Kapitel: Sie haben damit die Tabellen~\ref{table1} und \ref{table2} konstruiert.

\item Diese Darstellung zur Basis 4 wandeln Sie in eine Darstellung zur
Basis 10 um. Damit können Sie zur Verschlüsselung die Tabelle~\ref{table1} benutzen,
in denen die Zahlen ja auch auf 10er-Basis dargestellt werden.

Weil Sie vier Buchstaben für die Nachricht verwenden, rechnen Sie zur
Basis 4. Für die Rechnung modulo 77 müssen Sie die Nachricht in Stücke
von je drei Zeichen Länge zerlegen, weil die größte dreiziffrige Zahl
zur Basis 4 die $333_4$ ist. Zur Basis 10
hat diese Zahl den Wert 63.

Würden Sie stattdessen die Nachricht in vier Zeichen lange Stücke
zerlegen, würde die Zahl zu Basis 4 den Wert 76 übersteigen und es
würden unerwünschte Doppeldeutigkeiten entstehen.\\
Folglich würde die Nachricht in dreiziffrigen Stücken nun 

\[ aba, cad, aca \]

ergeben. Geben Sie den Zeichen nun ihre Zahlenwerte und vergessen
dabei nicht, dass die Stücke dreiziffrige Zahlen zur Basis 4
darstellen.


%% Original page 71
Da Sie die Buchstaben durch die Zahlen a = 0, b = 1, c = 2, d
= 3 darstellen, wird die Nachricht zu:

\[ 010_4, 203_4, 020_4 \]

Zur Basis 10 wird diese Nachricht durch die Zahlenfolge 4, 35,
8 dargestellt. Warum? Nehmen Sie z.B. das mittlere
Stück $203_4$:

\T\begin{eqnarray*}
\W\begin{tabular}{rrr}
 3 * 4^0, & ~\mbox{also}~ 3 * 1, & ~\mbox{also}~ 3 \\
 0 * 4^1, & ~\mbox{also}~ 0 * 4, & ~\mbox{also}~ 0 \\
 2 * 4^2, & ~\mbox{also}~ 2 * 16, & ~\mbox{also}~ 32\\
\W\end{tabular}
\T\end{eqnarray*}


% The next clearpage is just to over come a problem with the PDF
% file.  Without it the footer logo is not correctly rendered, instead
% a tiny image of the next graphic is shown.  The clearpage somehow
% solves it.



\clearpage
\item Jetzt können Sie zur Verschlüsselung die Tabelle~\ref{table1} benutzen, die ja
zur Basis 10 berechnet wurde. Diese Tabelle benutzen wir, weil Sie mit
dem schon bekannten Schlüsselpaar arbeiten wollen. Dabei entsteht eine
kodierte Nachricht zur Basis 10.

Zum Verschlüsseln der Nachricht nehmen Sie jetzt Tabelle~\ref{table1} zur Hilfe.
Die Nachricht wird nun zu der Zahlenfolge 53, 63, 50 (zur Basis 10).

%TODO#: convert in Latex
\begin{center}
\htmlattributes*{img}{width=500}
\IncludeImage[width=0.9\textwidth]{table-1}
\end{center}

%% Original page 72
\item Wiederum zur Basis 4 konvertiert, entsteht die verschlüsselte
Nachricht.

Wird sie nun wieder zur Basis 4 konvertiert, ergibt die Nachricht nun
$311_4, 333_4, 302_4$.  Konvertiert man diese zu einer
Buchstabensequenz, erhält man dbb, ddd, dac, was sich nun erheblich
von der ursprünglichen Nachricht unterscheidet.

Man kehrt nun also den Prozeß um und transformiert die Zahlenfolge 53,
63, 50 mit Tabelle~\ref{table2} und erhält die Sequenz 4, 35, 8. Und das
entspricht, als Zahlenfolge genau der ursprünglichen Nachricht.

Anhand der Tabellen \ref{table1} und \ref{table2} können Sie ebensogut Nachrichten unter
Verwendung des geheimen Schlüssels (d.h. erst Tabelle~\ref{table2} benutzen)
verschlüsseln, dann mit dem öffentlichen Schlüssel (d.h.
Tabelle~\ref{table1} als
zweites benutzen) dekodieren und damit Ihre ursprüngliche Zahl
wieder herstellen. Das bedeutet, dass der Inhaber des geheimen
Schlüssels damit Nachrichten unter Verwendung des RSA Algorithmus
verschlüsseln kann.  Damit ist bewiesen, dass sie eindeutig nur von
ihm stammen können.
\end{enumerate}

\clearpage
%% Original page 73
\subsubsection{Fazit:}

Wie Sie gesehen haben, ist die ganze Angelegenheit zwar im Detail
kompliziert, im Prinzip aber durchaus nachvollziehbar. Sie sollen
schließlich nicht einer Methode einfach nur vertrauen, sondern ­--
zumindest ansatzweise ­-- ihre Funktionsweise durchschauen. Sehr viele
tiefergehende Details sind leicht in anderen Büchern (z.B.: R.~Wobst,
"`Abenteuer Kryptologie"') oder im Internet zu finden.


\vfill

\textbf{Immerhin wissen Sie nun:} Wenn jemand sich an Ihren verschlüsselten
\Email{}s zu schaffen macht, ist er durchaus so lange damit beschäftigt,
dass er dann keine Lust mehr haben dürfte diese auch noch zu lesen\ldots





%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
% Appendix

% page break in toc
\addtocontents{toc}{\protect\newpage}

\xname{3-tillagg}
\appendix
\T\part{Tillägg}
\W\part*{\textbf{III Tillägg}}
\addtocontents{toc}{\protect\vspace{0.3cm}}


\xname{hinweise-zu-gpgol}
\T\chapter{Hinweise zur Outlook-Programmerweiterung GpgOL}
\W\chapter*{A Hinweise zur Outlook-Programmerweiterung GpgOL}
\label{appendix:gpgol}

GpgOL ist eine Programmerweiterung für Microsoft Outlook, es integriert dort die
Bedienung von GnuPG.

Da Outlook ein proprietäres Produkt, also nicht als Freie Software
mit Quelltext verfügbar ist, hat die Integration eine Reihe von
,,Ecken und Kanten''. Oder mit anderen Worten: Die Bedienung ist nicht
so komfortabel wie es beispielsweise \Email{}-Programme mit integrierter
Verschlüsselungs- und Signaturkomponente bieten (z.B. KMail / Kontact).

GpgOL wird durch den Gpg4win-Installationsassistenten installiert.  Beim nächsten
Start von Outlook findet sich im Menü
\Menu{Extras$\rightarrow$Optionen} eine Karteikarte \Menu{GpgOL}:

% TODO screenshot: GpgOL options
\begin{center}
\IncludeImage[width=0.45\textwidth]{sc-gpgol-options_de}
\end{center}

\clearpage
Die Karteikarte \textit{GpgOL} unterteilt sich in drei Bereiche:
\begin{enumerate}
    \item \textbf{Allgemein:}
        %TODO#: ÜBerarbeiten
        Nach der Installation von Gpg4win ist die 
        \T\margin{\IncludeImage[width=1.5cm]{smime-icon}}
        S/MIME Funktionalität in GpgOL deaktiviert.
        Damit ist die S/MIME Unterstützung von GnuPG gemeint.
        Outlook selbst unterstützt ebenfalls X.509 und S/MIME,
        arbeitet aber natürlich nicht mit den Gpg4win-Komponenten.
        Konkret heißt das, dass alle Einstellungen,
        das Schlüsselmanagement und die Benutzerdialoge unterschiedlich
        sind. Es ist zu beachten, dass Outlook keine OpenPGP
        Unterstützung anbietet.

        \textbf{Wichtig:} Wenn Sie S/MIME in Outlook mit Gpg4win nutzen
        möchten, müssen Sie zuvor die GpgOL-Option
        \textit{S/MIME Unterstützung einschalten} aktivieren.

    \item \textbf{Senden von Nachrichten:}

        Die beiden ersten Optionen in diesem Bereich steuern, ob per
        Voreinstellung neue Nachrichten verschlüsselt und/oder signiert
        werden sollen. Sie können dies aber immer noch bei der
        Erstellung einer Nachricht individuell verändern. Lediglich
        die Schaltflächen sind schon entsprechend aktiviert.

        Die beiden letzten Optionen definieren, ob PGP/MIME
        \textit{oder} S/MIME per Voreinstellung verwendet werden soll.
        Auch hier können Sie diese Entscheidung immer noch vor dem
        Senden jeder Nachricht nachträglich ändern.

    \item \textbf{Lesen von Nachrichten:}

        \textit{Auch im Vorschaufenster entschlüsseln}

        Soll im Vorschaufenster die entschlüsselte Fassung erscheinen,
        so ist diese Option einzuschalten.
        Sie sollten dabei bedenken, dass dadurch bereits beim Durchblättern
        durch Ihre Nachrichten die Entschlüsselungs- und Prüfroutinen ausgeführt
        werden. Das heißt, es werden Dialog zum Status der \Email{}s angezeigt
        und ggf. werden Sie nach einer Passphrase zur Entschlüsselung gefragt.

        \textit{HTML-Darstellung anzeigen wenn möglich}

        Diese Option kann benutzt werden, um die HTML-Version einer Nachricht
        anzuzeigen. Im Normalfall oder falls kein HTML-Format vorhanden
        ist, so wird die Nachricht im Text-Format dargestellt.

        \textit{Verschlüsselte Nachricht als Anlage anzeigen}

        Der verschlüsselte Teil der Nachricht wird zusätzlich als Anhang
        angezeigt. Der Anwender kann so den verschlüsselten Teil separat
        speichern oder auf andere Weise weiterverarbeiten.
\end{enumerate}



Alle Optionen sind nach einer Neuinstallation bereits sinnvoll vorbelegt.

\clearpage
\label{OLandWord}
Um verschlüsselte Nachrichten mit Outlook versenden zu können, müssen Sie
sicherstellen, daß Sie \textbf{nicht} Microsoft Word zum Verfassen der
Nachrichten benutzen.

Desweiteren ist anzuraten auf HTML Nachrichten zu verzichten.
Sie können dies im Menüpunkt
\Menu{Extras$\rightarrow$Optionen} auf der Karteikarte
\Menu{E-Mail-Format} kontrollieren.  Das Nachrichtenformat sollte auf
\textit{Nur-Text} eingestellt sein (siehe markierter Bereich):

% screenshot: Outlook E-Mail-Format options
\begin{center}
\IncludeImage[width=0.45\textwidth]{sc-gpgol-options-textformat_de}
\end{center}


\clearpage
\xname{anvanda-gnupg-med-andra-epost-program}
\T\chapter{Använda GnuPG med andra epost-program}
\W\chapter*{B Använda GnuPG med andra epost-program}
\label{ch:plugins}

Das Gpg4win-Kompendium geht vor allem auf das \Email{}-Programm
Outlook ein. GnuPG ist jedoch mit allen anderen \Email{}-Programmen
auch verwendbar. Große Unterschiede gibt es jedoch im Bedienkomfort: Je besser GnuPG
in ein \Email{}-Programm integriert ist, desto einfacher die Verwendung.

Die einfachste Methode, z.B. wenn ein \Email{}-Programm überhaupt nichts
über GnuPG weiss, ist die Verschlüsselung via Zwischenablage mit Hilfe von
Kleopatra. Dies funktioniert nur für OpenPGP, für S/MIME und kompliziertere
PGP/MIME \Email{}s werden Sie über eine Zwischenspeicherung als Datei
gehen müssen. Beide Methoden werden im ersten Teil dieses Kompendiums beschrieben.

Ein Integration in GnuPG wird derzeit für folgende
\Email{}-Programme unter Windows angeboten:

\begin{description}
\item[Thunderbird] mit 
    \textbf{Enigmail}\footnote{http://www.thunderbird-mail.de/wiki/Enigmail\_OpenPGP}.

\item[Outlook ab Version 2003] mit GpgOL. GpgOL ist
    Bestandteil des Gpg4win-Pakets.

\item[Claws Mail:] Dieses \Email{}-Programm wird im Gpg4win-Paket
  mitgeliefert und kann optional installiert werden.
  Eine solche Installation konfiguriert bereits die Programmerweiterung für
  die Verwendung von PGP/MIME und S/MIME. Diese Erweiterung verwendet
  jedoch nicht Kleopatra und bieten daher nicht denselben Komfort
  wie es derzeit die Outlook-Erweiterung GpgOL bietet.

\item[Kontact:] Eine komfortable und erprobte Integration von
  GnuPG bieten KMail / Kontact.
  Es ist für jedes
  System verfügbar, auf dem die
  KDE-Oberfläche\footnote{http://www.kde.de} installiert ist,
  also für nahezu jedes GNU/Linux-System und neuerdings auch für
  Windows und MacOS X.
\end{description}



\clearpage
\xname{automatisk-installation-av-gpg4win}
\T\chapter{Automatisk installation av Gpg4win}
\W\chapter*{C Automatisk installation av Gpg4win}
\label{ch:auto}

In diesem Kapitel wird die automatisierte Installation (ohne
Benutzerdialoge) erläutert.

In einigen Fällen, wie z.B. für Software-Verteilungssysteme, ist
es notwendig, dass die Installation von Gpg4win ohne die Interaktion
über Dialoge funktioniert. Um aber trotzdem vorab alle
Installationseinstellungen bestimmen zu können, unterstützt
Gpg4win das Setzen des Installationspfads auf der
Kommandozeile, wie auch eine Steuerungsdatei.

Der Installationspfad kann mit der Option \verb-/D=<PFAD>- angegeben
werden, welche als letzte Option auf der Kommandozeile übergeben
werden muß.
Der Dateiname (hier: \verb-gpg4win.exe-) kann je nach Version variieren.
Die Groß-/Kleinschreibung bei der Eingabe in der
Kommandozeile ist hierbei wichtig. Eventuell sind noch Zugriffrechte
(z.B. lesen und schreiben) auf den Installationsordner zu setzen.
Ein Beispiel:\\
\verb-  gpg4win.exe /D=D:\Programme\Gpg4win-

~\\Mit der Option \verb-/S- läuft die Installation "`still"' (also
ohne Dialog) ab. Ohne Angabe von weiteren
Parametern, werden alle Voreinstellungen übernommen.

Gpg4win unterstützt auch eine sogenannte Steurungsdatei.
Mit der Option \verb-/C=INIFILE- kann eine Steuerungsdatei (Name endet
üblicherweise auf \textit{.ini}) angegeben werden. 

Ein weiteres Beispiel:\\
\verb-  gpg4win.exe /S /C=C:\TEMP\gpg4win.ini-

~\\Diese \textit{.ini} Datei sollte genau einen Abschnitt \verb-[gpg4win]- enthalten.
Dort können diverse Einstellungen vorgenommen werden, darunter
absolute Pfadangaben für die zu installierenden Konfigurationsdateien.
Relative Pfade, also abhängig vom aktuellem
Arbeitsverzeichnis, dürfen hier nicht angegeben werden. Absolute Pfade
enthalten den vollständigen Pfad inkusive der Laufwerksangabe.
In der Regel sind die Einstellungen dann anzugeben, wenn nicht
die Voreinstellung verwendet werden soll.
Ausnahmen davon sind im Beispiel auf der nächsten Seite dokumentiert.

\clearpage
Hier ist ein Beispiel für den Inhalt einer Steuerungsdatei, das 
\textbf{alle} erlaubten Schlüsselworte zeigt:

\begin{verbatim}
[gpg4win]
  ; Installationseinstellungen. Weg- oder leerlassen für Voreinstellung
  inst_gpgol = true
  inst_gpgex = true
  inst_kleopatra = true
  inst_gpa = true
  inst_claws_mail = false
  inst_compendium_de = true
  inst_man_novice_de = true
  inst_man_novice_en = true
  inst_man_advanced_de = true
  inst_man_advanced_en = true

  ; Die Stellen, an denen Verknüpfungen erzeugt werden sollen.
  inst_start_menu = true
  inst_desktop = false
  inst_quick_launch_bar = false

  ; Im Gegensatz zu den anderen Optionen überschreibt diese Option
  ; die Einstellung des Benutzers im Installationsassistenten.
  inst_start_menu_folder = Gpg4win

  ; Standard-Konfigurationsdateien.
  gpg.conf = D:\config\gpg-site.conf
  gpg-agent.conf = D:\config\gpg-agent-site.conf
  trustlist.txt = D:\config\trustlist-site.txt
  dirmngr.conf = D:\config\dirmngr-site.conf
  dirmngr_ldapserver.conf = D:\config\dirmngr_ldapserver-site.conf
  scdaemon.conf = D:\config\scdaemon-site.txt
  gpa.conf = D:\config\gpa-site.conf
\end{verbatim}

Ein entsprechender Aufruf zur automatischen Installation mit einer
Steuerungsdatei \verb-gpg4win.ini- und einem Installationspfad
\verb-D:\Programme\Gpg4win- könnte also wie folgt aussehen:

\begin{verbatim}
  gpg4win.exe /S /C=C:\TEMP\gpg4win.ini /D=D:\Programme\Gpg4win
\end{verbatim}

\clearpage
\xname{umstieg-von-anderen-programmen}
\T\chapter{Umstieg von anderen Programmen}
\W\chapter*{D Umstieg von anderen Programmen}
\label{ch:migration}

Dieser Abschnitt erläutert Ihnen, wie Sie von anderen GnuPG basierten
Programmen auf Gpg4win umsteigen können.  Das Installationsprogramm
erkennt einige dieser Programme und warnt Sie in diesem Fall.

Generell ist es ratsam, eine vorhandene Installation eines anderen
GnuPG basierten Programms zu entfernen, bevor Gpg4win installiert wird.
Es ist hier wichtig, die vorhandenen Schlüssel vorher zu sichern.

Der einzige sinnvolle Weg dies zu tun, ist unter Verwendung der im
alten System vorhandenen Möglichkeiten.  Suchen Sie nach einem
Menüpunkt um die eigenen privaten (geheimen) Schlüssel zu sichern als
auch nach einem Menüpunkt um alle vorhandenen öffentlichen Schlüssel
und Zertifikate zu sichern. Sichern Sie diese dann in eine oder
mehrere Dateien.

Sobald Sie Gpg4win installiert haben, prüfen Sie, ob Ihre
alten Schlüssel bereits vorhanden sind. Sie können dies mit Kleopatra
oder GPA machen. Sind die Schlüssel schon vorhanden, so entsprach das
alte System bereits den neuen Konventionen zum Speicherort für die
Schlüssel und Sie müssen nichts weiter unternehmen.

Wenn die alten Schlüssel nicht erscheinen, so importieren Sie diese
einfach aus den erstellten Sicherungsdateien. Lesen Sie hierzu das
Kapitel~\ref{ch:ImExport}.

Falls das alte System GPA verwendet, so können Sie die dort
vorhandene Backupmöglichkeit benutzen. Diese sollte sehr ähnlich zu
der Funktion in der GPA Version aus Gpg4win sein.

Falls Sie keinen anderen Weg finden, Ihre alten Schlüssel
wiederzufinden, so suchen Sie bitte mit den Bordmitteln von Windows
nach Dateien mit den Namen \Filename{secring.gpg} und
\Filename{pubring.gpg} und importieren diese beiden Dateien mittels
Kleopatra\footnote{Dies ist nicht der offizielle Weg, funktioniert aber
noch mit allen aktuellen GnuPG Versionen.}.

\clearpage
\T\section*{Migration von Gpg4win-1.1.3 nach Gpg4win-2.0.0}
\W\section*{D.1 Migration von Gpg4win-1.1.3 nach Gpg4win-2.0.0}

Es wird dingend empfohlen zunächst Gpg4win-1.1.3 zu deinstallieren
bevor anschließend Gpg4win-2.0.0 installiert wird.

\subsubsection{Technischer Hintergrund}
Das Problem bei einer Migration \textit{ohne} Deinstallation von
Gpg4win-1.1.3 ist folgende Sequenz:

1. Installation von Version X, inkl. Komponente K.\\
2. Installation von Version X+1, aber Komponente K wird diesmal deselektiert.

Effekt: Die alte Komponente von K bleibt installiert in der Version X.

3. Deinstallation von Version X+1.

Effekt: Die Komponente K in der Version X bleibt auf dem Betriebssystem verwaist
zurück.

Mögliche Lösung: 
Der Installationsassistent ruft die aktuelle Deinstallation für die Komponente K auf, falls
diese selektiert war, aber nicht mehr selektiert ist.
Diese Lösung wäre allerdings ein erheblicher Programmier- und Testaufwand,
da dies nicht von NSIS einfach unterstützt wird.

Alternative:
Installierte Komponenten dürfen bei einem Update nicht deselektiert
werden. Der Aufwand wäre vermutlich geringern.
Allerdings keine perfekte Lösung. Grund: NSIS fehlt ein vollständiges
Paketmanagement.

Diese Beschränkung ist in Gpg4win seit der ersten Version.

\textit{Anmerkung 1}: Bei Sprung von 1.1.3 auf 2.0.0 tritt dieser Fall
\textit{immer} ein, da bestimmte Komponenten K nicht mehr existieren, 
also auf jeden Fall (automatisch) als deselektiert zu betrachten sind.

\textit{Anmerkung 2}: Im Falle von MSI übernimmt Windows die Aufgabe, nicht mehr verwendete
Komponenten zu entfernen.  Das bedeutet, dass der
MSI-Installationsassistent in dem obigen
Szenario korrekt ist (alte Komponente K in Version X ist nach Schritt 2 nicht
mehr auf dem System vorhanden).



\clearpage
\xname{deinstallation-von-gpg4win}
\T\chapter{Deinstallation von Gpg4win}
\W\chapter*{E Deinstallation von Gpg4win}

%  TODO: Wenn die Kapitel zu S/MIME fertig sind, sollten Verweise zum Sichern
%  von Zertifikaten und Schlüssel eingefügt werden

Soll Gpg4win deinstalliert werden,
dann sollten Sie zunächst alle nicht notwendigen
Anwendungen beenden und alle Schlüssel und Zertifikate sichern.
Falls Sie auf Ihrem Rechner mit eingeschränkten Rechten arbeiten
sollten, ist es für die Deinstallation außerdem notwendig mit
\textbf{Administratorrechten} angemeldet zu sein.
Wurde die Installation bereits über Ihr Benutzerkonto
durchgeführt, so verfügt es über Administratorrechte.

~\\
\textbf{Wichtig:}\\
Bevor Sie die Deinstallation durchführen, sollten Sie unbedingt Ihre
mit GpgOL bearbeiteten \Email{}s in Outlook von den
GpgOL-Informationen "`bereinigen"'. Denn: Gpg4win/GpgOL
setzt für jede Krypto-\Email{} in Outlook eine bestimmten Markierung.
Sie müssen vor der Deinstallation diese Markierung zurücksetzen,
damit andere Krypto-Software Ihre \Email{}s später korrekt
lesen und z.B. entschlüsseln kann.

GpgOL stellt Ihnen für diese \textbf{Re-Migration} direkt in Outlook folgende Funktion bereit:\\
Wählen Sie einen Outlook-\Email{}-Ordner aus, dessen \Email{}s Sie
zurücksetzen möchten und klicken Sie im Menü von Outlook auf 
\Menu{Extras $\rightarrow$ GpgOL Eigenschaften aus diesem Ordner entfernen}.

Sie werden darauf hingewiesen, dass GpgOL (für die anschließende Deinstallation)
ausgeschaltet wird. Bestätigen Sie die Frage, ob Sie den Ordner von
GpgOL befreien wollen, mit \textit{Ja}.\\
Führen Sie dieses Kommando nun für alle Outlook-Ordner durch.

Nachdem Sie alle Ordner zurückgesetzt haben, beginnen Sie mit der Deinstallation von Gpg4win.

~\\
Es gibt zwei Möglichkeiten die Deinstallation auszuführen:

\begin{itemize}
\item Einmal mit den Bordmitteln von Microsoft Windows:

    Öffnen Sie
\Menu{Start$\rightarrow$Einstellungen$\rightarrow$Systemsteuerung$\rightarrow$Software}
und wählen Sie dann \textit{GnuPG for Windows} aus.

Mit dem Knopf \Button{Entfernen} deinstallieren Sie alle
Gpg4win-Programmkomponenten von Ihrem Betriebssystem.

\item Die zweite Möglichkeit zur Deinstallation von Gpg4win bietet
    Ihnen die ausführbare Datei \texttt{gpg4win-uninstall.exe}. 
    Sie wird mit Gpg4win mitgeliefert und
liegt im Installationsordner (in der Regel 
\Filename{C:$\backslash$Programme$\backslash$GNU$\backslash$GnuPG$\backslash$}).
Falls Sie bei der Installation einen anderen als den voreingestellten Pfad
gewählt hatten, werden Sie das Deinstallationsprogramm an entsprechender
Stelle finden.
\end{itemize}

In beiden Fällen werden alle Dateien von Gpg4win aus dem
Installationsordner sowie die Verknüpfungen im Startmenü, Desktop
und Schnellstartleiste entfernt.

\textbf{Nicht} gelöscht werden die benutzerspezifischen und
systemweiten Anwendungs-Dateiordner mit den Konfigurationseinstellungen:

\begin{itemize}
    \item Benutzerspezifische GnuPG-Anwendungsdaten\\
        in \Filename{\%APPDATA\%\back{}gnupg}, das
        entspricht in der Regel dem Dateiordner: \\
\Filename{C:\back{}Dokumente und
Einstellungen\back{}\textit{<Benutzername>}\back{}Anwendungsdaten\back{}gnupg\back{}}

        In diesem \texttt{gnupg}-Dateiordner befinden sich sämtliche
        persönlichen GnuPG-Daten,
        also die persönlichen Zertifikate (Schlüssel), Vertrauenseinstellungen und
        Programmkonfigurationen.

    \item Systemweite GnuPG-Anwendungsdaten\\
        in \Filename{\%COMMON\_APPDATA\%\back{}GNU}, das
        entspricht in der Regel dem Dateiordner: 
        \Filename{C:\back{}Dokumente und Einstellungen\back{}All
Users\back{}Anwendungsdaten\back{}GNU\back{}}

\end{itemize}




\T\section*{Avinstallation av Gpg4win-1.1.3}
\W\section*{E.1 Avinstallation av Gpg4win-1.1.3}
Etter avinstallation av Gpg4win-1.1.3 stannar följande 
mappar respektive registernycklar kvar:

\begin{itemize}
    \item \Filename{\%APPDATA\%$\backslash$gnupg}\\
        (OBS: Här ligger
	dina personliga privata och publike nycklar, samt inställningar
	för GnuPG.)
    \item Registernyckel:\\
        \Filename{HKLM$\backslash$Software$\backslash$GNU$\backslash$GnuPG}
        \textit{(Blir tagit bort vid installation av Gpg4win-2.0.0.)}\\
        \Filename{HKCU$\backslash$Software$\backslash$GNU$\backslash$GPG4Win}\\
        \Filename{HKCU$\backslash$Software$\backslash$GNU$\backslash$GpgOL} \\
        \Filename{HKCU$\backslash$Software$\backslash$GPGee}


\end{itemize}


\clearpage
\xname{history}
\T\chapter{Historie}
\W\chapter*{F Historie}

\begin{itemize}
\item  "`GnuPP für Einsteiger"', 1. opplag mars 2002 och\\
       "`GnuPP für Durchblicker"', 1. opplag mars 2002,\\
  Författare: Manfred J. Heinze, TextLab text+media\\
  Rådgivning: Lutz Zolondz, G-N-U GmbH\\
  Illustrationer: Karl Bihlmeier, Bihlmeier \& Kramer GbR\\
  Layout: Isabel Kramer, Bihlmeier \& Kramer GbR\\
  Facktext: Dr. Francis Wray, e-mediate Ltd.\\
  Redaktion: Ute Bahn, TextLab text+media\\
  Utgiven av Bundesministerium für Wirtschaft und
  Technologie (BMWi).\\
  Tillgänglig på
  \uniurl{http://www.gnupp.de/pdf/einsteiger.pdf}
  och\\
  \uniurl{http://www.gnupp.de/pdf/durchblicker.pdf}.
%    Der Abschnitt "`History"' ist im Originaldokument nicht vorhanden
%    und wurde von Werner Koch beigefügt.
\item Reviderat icke-publicerat version av TextLab text+media.      
\item "`Gpg4win für Einsteiger"' och "`Gpg4win für Durchblicker"', december 2005\\
      Författare:  Werner Koch, g10 Code GmbH\\
      Utgiven genom Gpg4win-projektet.
\item Med tillstånd från BMWi 14. november 2007 blev
      invariant-sektionen "`Impressum"' tagit bort och den aktuella
      versionen anpassad.
\item "`Gpg4win-Kompendiet"' slår ihop "`Gpg4win für Einsteiger"' och "`Gpg4win für Durchblicker"'
      och är aktualiserad och utvidgat för Gpg4win 2.0.\\
      Bearbetad av:\\
      Emanuel Schütze, Intevation GmbH\\
      Dr. Jan-Oliver Wagner, Intevation GmbH
\end{itemize}

\clearpage
\input{fdl-book.tex}

\end{document}
